STAN PRAWNY NA 19 STYCZNIA 2021 Informacja publiczna a sprzedaż usług Opracował: Michał Łyszczarz, prawnik, główny specjalista w Wydziale Oświaty w Urzędzie Miasta w Dąbrowie Górniczej, współautor komentarza do Ustawy o systemie oświaty oraz szeregu publikacji z zakresu prawa oświatowego Podstawa prawna: • Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2020 r. poz. 2176), • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119, poz. 1), • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2020 r. poz. 1369 ze zm.), • Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), • Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2020 r. poz. 346 ze zm.). Prawo do informacji publicznej jest jednym z praw gwarantowanych przez Konstytucję RP. Zgodnie z art. 61 ust. 1 ustawy zasadniczej obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Prawo do uzyskiwania informacji obejmuje również dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu. Ustawa zasadnicza wyraźnie stanowi również, że ograniczenie prawa dostępu do informacji publicznej może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa. Szczegółowe zasady korzystania z konstytucyjnego prawa określa ustawa o dostępie do informacji publicznej, wymieniając w art. 6 przykładowe kategorie spraw, które podlegają udostępnieniu jako informacja publiczna. Przepis ten wymienia tu m.in. informację o: • organach i osobach sprawujących w nich funkcje i ich kompetencjach, • majątku; • statusie prawnym lub formie prawnej, • sposobach przyjmowania i załatwiania spraw, • stanie przyjmowanych spraw, kolejności ich załatwiania lub rozstrzygania, • organizacji, • przedmiocie działalności i kompetencjach Udostępnieniu podlega również m. in.: • treść i postać dokumentów urzędowych; • dokumentacja przebiegu i efektów kontroli oraz wystąpienia, stanowiska, wnioski i opinie podmiotów ją przeprowadzających, • informacja o stanie jednostki organizacyjnej. Katalog spraw wymienionych w art. 6 ma jednak wyłącznie charakter przykładowy, zatem odmowa udzielenia informacji publicznej nie powinna zostać w całości oparta o argument, iż informacja o której wydanie prosi wnioskodawca nie została wymieniona wprost w art. 6 ustawy. Taką argumentację powinno się poprzeć dodatkowo orzecznictwem, wskazującym, iż dana sprawa nie podlega udostępnieniu jako informacja publiczna. Jest to o tyle istotne, że zgodnie z art. 1 ust. 1 ustawy informacją publiczną jest każda informacja o sprawach publicznych. W orzecznictwie wskazuje się, że chodzi w szczególności o każdą wiadomość wytworzoną lub odnoszoną do władz publicznych, a także wytworzoną lub odnoszoną do innych podmiotów wykonujących funkcje publiczne w zakresie wykonywania przez nie zadań władzy publicznej i gospodarowania mieniem komunalnym lub mieniem Skarbu Państwa. Bez wątpienia informacją publiczną nie są zatem konkretne sprawy danej osoby, w szczególności o charakterze prywatnym. Tu jednak szczególną ostrożność należy należy również zachować, bowiem często trudne jest rozróżnienie spraw, które do tej sfery prywatnej należą od tych, które bez wątpienia jej nie stanowią. Jak zauważył Wojewódzki Sąd Administracyjny w Bydgoszczy w wyroku z 10 września 2015 r. (II SAB/Bd 60/15) w orzecznictwie sądowoadministracyjnym wskazuje się, że notatki służbowe są informacja publiczną, której ujawnienia i udostępnienia może żądać obywatel. Zdaniem sądu notatka służbowa jest dokumentem, który został wytworzony przez pracownika organu administracji publicznej i dotyczy sfery faktów, może dotyczyć tez wystąpień, opinii i ocen przez te organy i pracowników dokonywanych i jako taka stanowi informacje publiczną. Z punktu widzenia ustawy o dostępie do informacji publicznej treść tych dokumentów (notatek służbowych) jako wytworzonych przez organy władzy publicznej ma charakter informacji publicznej. Z orzecznictwa wynika, że przymiot informacji publicznej posiadają także dokumenty powstałe w związku z prowadzeniem zadań w ramach realizacji zadań publicznych czy też konkretnych spraw. Notatka nauczyciela będzie zatem już informacją publiczną. Co ciekawe, również jego zarobki taką informację stanowią według Naczelnego Sądu Administracyjnego. Stwierdził on w wyroku z dnia 18 lutego 2017 r. (I OSK 796/14), że udzielenie informacji publicznej w postaci danych o wysokości wynagrodzenia osób zatrudnionych w jednostkach finansowanych ze środków publicznych (zarówno pełniących funkcje publiczne, jak też personelu pomocniczego) zazwyczaj nie musi się wiązać z koniecznością ingerencji w ich prawnie chronioną sferę prywatności. Dzieje się tak przede wszystkim wówczas, gdy w danym podmiocie na określonym stanowisku zatrudnionych jest kilka osób. Udostępnienie informacji publicznej polega, bowiem na ujawnieniu wysokości wynagrodzenia wypłacanego na określonym stanowisku, bez wskazywania danych osobowych konkretnej osoby. O ile zatem wnioskujący nie powinien uzyskać informacji o zarobkach konkretnego nauczyciela, to już o średniej wynagrodzeń w danym przedszkolu czy szkole już jak najbardziej może. Co więcej, z uwagi na fakt, że w jednostkach niepublicznych wynagrodzenie pracowników pedagogicznych i niepedagogiczny jest przynajmniej w części finansowane z dotacji uzyskiwanej od jednostki samorządu terytorialnego, to również tutaj dyrektor i organ prowadzący ma obowiązek udzielania informacji o zarobkach, bowiem są one finansowane ze środków publicznych. Przywołane przykłady mają na celu wskazanie, że pojęcie informacji publicznej jest stosunkowo szerokie, a ponadto jego interpretacja jest uzależniona od aktualnego stanowiska sądów. Powoduje to bardzo naturalną chęć wykorzystania prawa do informacji publicznej przez firmy oferujące swoje usługi jednostkom oświatowym. Chcąc bowiem uzyskać dane na temat potencjalnych klientów szereg podmiotów posługuje się właśnie informacją publiczną, żądając od szkół i przedszkoli danych na temat wykonania rozmaitych obowiązków ustawowych. W razie uzyskania informacji, że przedszkole czy szkoła nie wykonały określonej czynności, jak np. audyt, oferowane są następnie usługi właśnie w tym zakresie. Dosyć popularnym jest tutaj pytanie o stanowisko IOD – inspektora ochrony danych, wymaganego przez art. 37 RODO. Wnioskodawcy żądają wskazania, czy dana jednostka powołała IOD, jaka wiąże ją z IOD umowa i oczywiście jakie sumy za sprawowanie funkcji IOD ta umowa przewiduje. Taki wniosek o informację publiczną dawałby wnioskodawcy istotne informacje o charakterze biznesowym, bowiem z jednej strony daje możliwość przedstawienia swojej oferty tylko tym jednostkom, której jeszcze umowy nie zawarły, a w jednocześnie w przypadku, gdy taka umowa już istnieje, daje możliwość stworzenia korzystniejszej oferty. Oczywiście w tym wypadku należy jednak podkreślić, że stanowisko IOD dla danej jednostki pełni jedna osoba, zatem nie da się wskazać średniej wysokości wynagrodzenia osób pełniących daną funkcję. Wskazanie kwot na które opiewa umowa wyraźnie zostaje zatem powiązane z zarobkami danej osoby, co stanowi również naruszenie ochrony danych osobowych. W tym konkretnym przypadku jest zatem niedopuszczalne udzielenie informacji o wynagrodzeniu IOD. Na marginesie można dodać, że jest to kolejny przykład na to, jak różnić się mogą interpretacje dotyczące tego, czym jest informacja publiczna, w zależności od organizacji danej jednostki – a w tym wypadku od konkretnego stanowiska. O ile pytanie o IOD jest nadal popularnym wnioskiem o informację, tak pojawiły się nowe wnioski o informację publiczną, o których można tu wspomnieć jako o potencjalnym źródle ofert usług dla szkół i przedszkoli. Koordynator dostępności cyfrowej Jednym z taki pytań jest wniosek o informację, czy jednostka wyznaczyła koordynatora dostępności cyfrowej, stosownie do treści art. 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Na wstępie należy zauważyć, że , że zgodnie z art. 4 tej ustawy krajowy system cyberbezpieczeństwa obejmuje: 1) operatorów usług kluczowych; 2) dostawców usług cyfrowych; 3) CSIRT MON; 4) CSIRT NASK; 5) CSIRT GOV; 6) sektorowe zespoły cyberbezpieczeństwa; 7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869, z późn. zm.); 8) instytuty badawcze; 9) Narodowy Bank Polski; 10) Bank Gospodarstwa Krajowego; 11) Urząd Dozoru Technicznego; 12) Polską Agencję Żeglugi Powietrznej; 13) Polskie Centrum Akredytacji; 14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej; 15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2019 r. poz. 712 i 2020); 16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa; 17) organy właściwe do spraw cyberbezpieczeństwa; 18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej "Pojedynczym Punktem Kontaktowym"; 19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej "Pełnomocnikiem"; 20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej "Kolegium". Przepis ten wymienia jednostki budżetowe, a więc formę organizacyjno – prawną, z której korzystają przedszkola i szkoły samorządowe. W żaden sposób jednak ustawa ta nie dotyczy jednostek niepublicznych. Przyjrzyjmy się zatem wspomnianemu we wniosku art. 14 ustawy, bowiem zgodnie z jego treścią operator usługi kluczowej powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Można oczywiście taki podmiot nazwać koordynatorem do spraw cyberbezpieczeństwa, ale z punktu widzenia samorządowego przedszkola czy szkoły istotne jest, że owego koordynatora powołują jedynie operatorzy usług kluczowych. Tymczasem zgodnie z art. 5 ustawy „operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr 1 do ustawy”. Zgodnie z załącznikiem do ustawy sektory w których działają operatorzy usług kluczowych to: • energia; • transport; • Bankowość i infrastruktura rynków finansowych; • Ochrona zdrowia; • Zaopatrzenie w wodę pitną i jej dystrybucja; • Infrastruktura cyfrowa. Oświata nie została zatem tutaj wymieniona, więc przedszkoli i szkół nie dotyczy obowiązek powołania koordynatora, jak i wskazany w art. 15 obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego. Oferty przeprowadzenia takiego audytu można zatem odrzucać. Krajowe Ramy Interoperacyjności Można się również spotkać z pytaniem, czy jednostka przeprowadziła audyt bezpieczeństwa informacji w 2020 na zgodność z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych i czy został ustanowiony w jednostce System Zarządzania Bezpieczeństwem Informacji zgodnie z § 20 ust.1 rozporządzenia. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych zostało wydane na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Akt ten, zgodnie z jego art. 2, ma zastosowanie do: 1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów, 2) jednostek budżetowych i samorządowych zakładów budżetowych, 3) funduszy celowych, 4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej, 5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego, 6) Narodowego Funduszu Zdrowia, 7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych, 8) uczelni, 9) federacji podmiotów systemu szkolnictwa wyższego i nauki, 9a) instytutów badawczych, 9b) instytutów działających w ramach Sieci Badawczej Łukasiewicz, 9c) jednostek organizacyjnych tworzonych przez Polską Akademię Nauk, 10) Polskiej Komisji Akredytacyjnej, 11) Rady Doskonałości Naukowej Ponownie zatem mamy sytuację, w której nie ulega wątpliwości, że ustawy, a co za tym idzie również rozporządzenia wydanego na jej podstawie, nie stosuje się do szkół, przedszkoli i placówek prowadzonych przez inne niż jednostka samorządu terytorialnego osoby prawne. Przedszkole i szkoła szkoła niepubliczna nie ma obowiązku prowadzić audytu bezpieczeństwa, o którym mowa w pytaniu. Odnośnie jednostek budżetowych natomiast należy zauważyć, że są one nazywane przez ustawę „podmiotami publicznymi” i jako takie, zgodnie z art. 13 ustawy, mają obowiązek używania do realizacji zadań publicznych systemów teleinformatycznych spełniających minimalne wymagania dla systemów teleinformatycznych oraz zapewniających interoperacyjność systemów na zasadach określonych w Krajowych Ramach Interoperacyjności. Interoperacyjność, czyli m.in. wymienialność danych informatycznych pomiędzy rejestrami danych publicznych, musi zatem zostać w publicznych przedszkolach i szkołach zachowana. Co jednak istotne, w tym wypadku obowiązki samorządowych przeszkoli i szkół należy rozpatrywać w kontekście ich powiązania z samorządowym organem prowadzącym i obowiązkami tego organu, wymienionymi w art. 10 Prawa oświatowego. Zgodnie bowiem z tą regulacją to do organu prowadzącego należy zapewnienie warunków działania jednostki oświatowej, zapewnienie obsługi administracyjnej i organizacyjnej, zatem wydaje się, że interoperacyjność jednostki powinna być zapewniana na szczeblu samorządu, w ramach obsługi prowadzonych szkół i przedszkoli. Co za tym idzie, na pytanie o interoperacyjność można odpowiedzieć, że audyt bezpieczeństwa nie był przeprowadzony przez samą jednostkę. Nie oznacza to bowiem, że obowiązek nie został wykonany, bowiem mógł zostać przeprowadzony na szczeblu samorządu terytorialnego. Reasumując należy podkreślić, że odpowiedź na informację publiczną powinna się odnosić się ściśle do zadanego pytania i nie musi być szczególnie rozbudowana. Jeżeli zatem wnioskodawca zapyta o realizację jakiegokolwiek przepisu ustawowego, to wystarczająca jest odpowiedź tak, lub nie, o ile nie były żądane dodatkowe informacje. Pamiętać należy, że odpowiedź negatywna nie oznacza zaraz negatywnych konsekwencji, bowiem dany obowiązek, nawet jeżeli nie został jeszcze zrealizowany, to może zostać zrealizowany w dalszym terminie, lub też został zrealizowany przez organ prowadzący, którego kompetencje w zakresie obsługi jednostek oświatowych są bardzo szerokie.