Granice między informacją publiczną i tajemnicami
Generalny Inspektor Ochrony Danych Osobowych mógł odmówić udzielenia informacji o polityce bezpieczeństwa systemów informatycznych w jego biurze. Taka dokumentacja, którą powinny posiadać wszystkie podmioty przetwarzające dane osobowe, ma mieć formę pisemną, ale nie musi być jednolitym dokumentem. Tak uznał Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 1539/05).
Obowiązek opracowania dokumentu "polityka bezpieczeństwa" nakłada rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie warunków przetwarzania danych osobowych. Jacek Sekuła domagał się od GIODO udostępnienia dokumentu, jaki opracował dla siebie urząd. Powoływał się na zasady dostępu do informacji publicznej. Jak się wydaje - chodziło o to, by na bazie dokumentu urzędu przygotować własną politykę bezpieczeństwa.
Rzeczpospolita: "Generalny inspektor odmówił mu udzielenia pisemnej informacji o obowiązującej w biurze GIODO polityce bezpieczeństwa, o której mowa w rozporządzeniu. Art. 5 ustawy o dostępie do informacji publicznej ogranicza go, gdy żądana informacja jest objęta tajemnicą służbową wchodzącą w zakres ustawy o ochronie informacji niejawnych".
Sekuła zaskarżył odmowę udzielenia mu informacji publicznej twierdząc, że "wśród elementów polityki bezpieczeństwa wymienionych w rozporządzeniu nie ma takich, które wypełniałyby definicję tajemnicy służbowej". Sąd jednak oddalił skargę. Uznał, że dokumenty, których ujawnienie mogłoby narazić na szkodę m.in. interes publiczny, nie mogą być udostępniane. Przychylił się w ten sposób do stanowiska radcy prawnego GIODO, który argumentował, że jakkolwiek polityka bezpieczeństwa w biurze GIODO nie ma nadanej osobnej klauzuli "zastrzeżone", to jednak taką klauzulą są objęte całe zbiory informatyczne i ich systemy (wchodzące w skład polityki bezpieczeństwa). Klauzula taka została nadana na podstawie zarządzenia Generalnego Inspektora Ochrony Danych Osobowych z 2002 roku.
Wyrok jest nieprawomocny.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Upublicznianie "polityki"? Absurd
W pełni akceptuję wyrok WSA. "Polityka bezpieczeństwa" zawierać musi szereg "wrażliwych" informacji charakteryzujących wewnętrzne realia przetwarzania informacji u każdego z administratorów danych osobowych, a jeśli jest poważnie i rzetelnie potraktowana przez autora takiego opracowania, to ilustruje rownież rozwiązania zastosowane w celu ochrony zarówno systemu informatycznego, jak też obszaru przetwarzania danych. Udostępnianie tej wiedzy osobom trzecim uważam za nieporozumienie. Wystarczy zresztą zapoznać się chociażby z Polską Normą PN – ISO/IEC 17799 "Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji" lub międzynarodową normą ISO/IEC 17799:2000, aby pozbyć się złudzeń o możliwości udostępniania takiej dokumentacji każdemu, kto powoła się na ustawę o dostępie do informacji publicznej. Na analogicznej zasadzie mógłby znaleźć się krąg osób zainteresowanych lekturą planów ochrony określonych jednostek organizacyjnych, które nie nadały rzeczonym planom klauzul niejawności.
Na marginesie: GIODO po troszę sam strzelił sobie samobójczego gola forsując (po ostatniej nowelizacji ustawy o ochronie danych osobowych) tezę o konieczności zapoznania z "Polityką bezpieczeństwa" personelu zatrudnianego przez administratorów danych. Po co??? Do dziś nie wiem. Wszak wybrane z "Polityki bezpieczeństwa" elementy wiedzy niezbędnej można z powodzeniem umieścić w "Instrukcji zarządzania systemem informatycznym" (a propos: instrukcja ta również nie powinna być dokumentem możliwym do ewentualnego udostępniania osobom niezwiązanym z przetwarzaniem danych u określonego administratora danych).
Warto też zauważyć, że w myśl art. 39 ust. 2 ustawy o ochronie danych osobowych "Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia". Wydaje się, że można bronić tezy, iż dokumentacja dokumentację opisująca sposób przetwarzania danych powinna być traktowana w szeroko rozumianych kategoriach "sposobów zabezpieczenia danych".