Im więcej miesięcy mija od dnia wejścia w życie ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r., tym zwiększa się także kreatywność administratorów danych osobowych powołujących się na RODO jako przesłankę swojego działania. „Bo RODO” działa. Bo daje administratorowi komfort podjętej decyzji oraz prostą, acz nie zawsze dobrze dobraną, wymówkę działania lub odmowy działania.

Im więcej miesięcy mija od dnia wejścia w życie RODO tym częściej także okazuje się, że argumentacja „bo RODO” wynika z przeanalizowanych i rzeczywistych wątpliwości co do możliwych naruszeń ochrony danych osobowych. O ile nadużycie w tym zakres nie powinno być pochwalane, o tyle takie argumenty dają asumpt do aprobaty, że procesy zmierzające do ochrony danych osobowych rzeczywiście działają.

Nie inaczej jest w przypadku gdy na RODO powołują się podmioty zobowiązane przepisami prawa do udostępnienia informacji publicznej (w tym na gruncie ustawy o dostępie do informacji publicznej). Przy czym relacja pomiędzy ochroną danych osobowych a udostępnianiem informacji publicznej nie jest prosta. Niemniej, ustawie o dostępie do informacji publicznej przyświeca istotna wartość dążenia do jawności i przejrzystość życia publicznego oraz sprawowania władzy publicznej, zatem powoływanie się na RODO jako wymówkę udostępniania informacji w tym trybie wiedzie najczęściej do ślepego zaułka.

Jedną z wątpliwości wynikającej z tej relacji rozwiał ostatnio Wojewódzki Sąd Administracyjny w Łodzi w swoim orzeczeniu z dnia 12 lutego 2019 r. (sygnatura akt: II SAB/Łd 181/18). W rozpatrywanej przez Sąd sprawie osoba fizyczna złożyła do organu zobowiązanego do stosowania ustawy o dostępie do informacji publicznej wniosek o udostępnienie informacji w przedmiocie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania. Organ uznając, że nie jest zobligowany do udostępnienia tych informacji (w jego ocenie informacje nie mają charakteru publicznego) nie rozpoznał wniosku w ustawowym terminie. Skutkowało to wniesieniem przez wnioskodawcę do Wojewódzkiego Sądu Administracyjnego w Łodzi skargi na bezczynności organu. Po jej rozpoznaniu Sąd orzekł o jej oddaleniu w całości, uznając, że do bezczynności organu nie doszło.

W uzasadnieniu Sąd jednoznacznie potwierdził, że administrator danych osobowych, którym jest podmiot zobowiązany do stosowania ustawy o dostępie do informacji publicznej, nie ma obowiązku udostępnienia rejestru czynności przetwarzania, jako że dane w nim zawarte nie stanowią informacji publicznej. Sąd potwierdził w nim ocenę, wyrażaną także w piśmiennictwie z zakresu danych osobowych, że rejestr czynności przetwarzania, do którego prowadzenia na gruncie art. 30 RODO zobowiązany jest każdy administrator, ma charakter wyłącznie wewnętrzny i nie jest związany ze sprawowaną przez organ władzą publiczną. Sąd przyznał rację organowi uznając, że rejestry czynności przetwarzania danych osobowych są: „nośnikiem informacji o charakterze wewnętrznym, porządkowym, ewidencyjnym, który ma służyć zapewnieniu m.in. porządku i bezpieczeństwa”[1]. Dodał przy tym, że „takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej”[2]. Uzasadniając swoje stanowisko Sąd podkreślił dodatkowo, że prowadzenie rejestru czynności przetwarzania danych osobowych jak i zamieszczone w nim informacje mają na celu usystematyzowanie wykonywanych operacji przetwarzania danych osobowych oraz stanowią wewnętrzną i organizacyjną informację o zastosowanych przez administratora danych osobowych działaniach wobec gromadzonych przez niego danych osobowych.

Orzeczenie Wojewódzkiego Sądu Administracyjnego potwierdza także, powoływane przez organ w odpowiedzi na skargę, wcześniejsze stanowisko Generalnego Inspektora Danych Osobowych, uzasadniające, że polityka bezpieczeństwa, instrukcje zarządzania systemami, z których korzysta administrator, jako dokumenty wewnętrzne nie muszą, a nawet nie powinny być udostępniane wszystkim potencjalnym zainteresowanym[3]. Mają przecież one istotne dla administratora znaczenie w kontekście przyjętych przez niego należytych sposobów zabezpieczenia danych osobowych przed naruszeniami ich ochrony.

To orzeczenie chociaż nie rewolucyjne (nie ulega przecież wątpliwości, że rejestry czynności przetwarzania zawierające szczegółowe dane dotyczące stosowanych przez administratora środków zabezpieczeń powinny być szczególnie chronione), to pozwala jednak uciąć dyskusję nad zasadnością wniosków w przedmiocie udostępnienia ww. rejestrów w trybie ustawy o dostępie do informacji publicznej. Jak widać, także argumentacja „bo dostęp do informacji publicznej” nie zawsze przynosi efekty zamierzone przez wnioskujących.

[1] Wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 12 lutego 2019 r., sygnatura akt: II SAB/Łd 181/18, dostępny w Centralnej Bazie Orzeczeń Sądów Administracyjnych, www.orzeczenia.nsa.gov.pl.

[2] Ibidem.

[3] vide: https:\\giodo.gov.pl/pl/222/9906.