„Rejestr czynności przetwarzania” – czy należy go udostępniać w ramach żądania udostępnienia informacji publicznych?
Od pewnego czasu wielu administratorów zwraca się do nas z zapytaniem czy mają obowiązek udostępnić „Rejestr czynności przetwarzania” lub „Politykę bezpieczeństwa” na wniosek o udostępnienie informacji publicznych. Odpowiedź jest prosta: nie mają.
Ich pytanie to wynik wiadomości, którą od kilku dni otrzymują na swoje skrzynki e-mailowe a jej treść brzmi następująco:
„Wniosek o udostępnienie informacji publicznej
Na podstawie art. 2 i 10 ust. z dnia 6.09.2001 o dostępie do informacji publicznej wnoszę o udostępnienie informacji publicznej w następującym zakresie RODO - ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)(Dz.U.UE L z dnia 4 maja 2016 r.):
1. Proszę o udostepnienie polityki bezpieczeństwa (w wersji elektronicznej np. w formacie PDF)
2. Proszę o udostępnienie rejestru czynności przetwarzania danych osobowych prowadzony w jednostce (w wersji elektronicznej np. w formacie PDF)
Jednocześnie pragnę zwrócić uwagę iż zgodnie z art. 1 ust. 1 ustawy o dostępie do informacji publicznej, każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu w trybie i na zasadach określonych w ustawie. Będzie to zatem informacja o działalności organów władz publicznych i innych podmiotów wykonujących zadania publiczne w tym podmiotów oświatowych.
Na podstawie powyższej ustawy:
Prawo dostępu do informacji publicznej przysługuje każdemu bezwzględnie - nie można żądać od wnioskodawcy wykazania interesu prawnego lub faktycznego w jej uzyskaniu.”
Uzasadnienie opublikowane przez WSA w Łodzi jednoznacznie potwierdza, że administrator nie ma obowiązku udostępniać ww. dokumentów na wniosek o udostępnienie informacji publicznej. Informacje zawarte w tych dokumentach m.in. opis środków technicznych i organizacyjnych pozwalających zapewnić bezpieczeństwo przetwarzanych danych stanowią część dokumentacji wewnętrznej, więc mogą być udostępniane tylko organowi nadzorczemu.
Pełne informacje w tym temacie znajdą Państwo w treści wyroku Wojewódzkiego Sądu Administracyjnego w Łodzi: http://orzeczenia.nsa.gov.pl/doc/E4DAAA641D
Zalecamy zachowanie szczególnej ostrożności w przypadku otrzymania wiadomości email z prośbą o udostępnienie tych dokumentów, ponieważ w „Polityce bezpieczeństwa należy zamieścić m.in. wykaz zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność przez co zagraża właściwej ochronie danych osobowych. Zapoznanie osób trzecich ze szczegółami rozwiązań w zakresie bezpieczeństwa danych i architekturą systemów zastosowanych do ich przetwarzania może ułatwić przestępcom komputerowym ingerencję w te systemy (np. zatrzymania pracy lub niekontrolowaną modyfikację systemu, przejęcie, zniekształcenie lub usunięcie danych w nim zawartych) poprzez ominięcie zastosowanych zabezpieczeń lub ich „złamanie”.” (https://giodo.gov.pl/pl/222/9906)