Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
, Dostęp do informacji publicznej, Prezes Zakładu Ubezpieczeń Społecznych/ZUS, Oddalono skargę, II SA/Wa 1261/15 - Wyrok WSA w Warszawie z 2015-12-21, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 1261/15 - Wyrok WSA w Warszawie
|
|
|||
|
2015-07-30 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Danuta Kania /przewodniczący/ Eugeniusz Wasilewski Sławomir Antoniuk /sprawozdawca/ |
|||
|
Dostęp do informacji publicznej | |||
|
I OSK 862/16 - Wyrok NSA z 2018-03-09 | |||
|
Prezes Zakładu Ubezpieczeń Społecznych/ZUS | |||
|
Oddalono skargę | |||
|
Dz.U. 2001 nr 112 poz 1198 art. 5 ust. 1 Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Dz.U. 2014 poz 1182 art. 1,2,36 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jednolity |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędziowie WSA Sławomir Antoniuk (spr.), Eugeniusz Wasilewski, Protokolant specjalista Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 21 grudnia 2015 r. sprawy ze skargi Fundacji P. z siedzibą w W. na decyzję Prezesa Zakładu Ubezpieczeń Społecznych z dnia [...] czerwca 2015 r. nr [...] w przedmiocie odmowy udostępnienia informacji publicznej - oddala skargę - |
||||
Uzasadnienie
Prezes Zakładu Ubezpieczeń Społecznych (dalej jako Prezes ZUS) decyzją z dnia [...] czerwca 2015 r. nr [...], wydaną na podstawie art. 104 i 138 § 1 pkt 2 k.p.a. w zw. z art. 17 ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. Dz. U. z 2014 r. poz. 782 – dalej jako u.d.i.p.), uchylił własną decyzję z dnia [...] maja 2015 r. nr [...]) w części odmawiającej Fundacji [...] z siedzibą w W. (dalej jako Fundacja) udostępnienia informacji publicznej dotyczącej wypełnienia ankiet odnośnie wykorzystywania monitoringu wizyjnego w siedzibach oddziałów oraz Centrali Zakładu Ubezpieczeń Społecznych i umorzył postępowanie przed organem pierwszej instancji (z powodu udostępnienia żądanej informacji) oraz na podstawie art. 104 i 138 § 1 pkt 1 k.p.a., utrzymał w mocy zaskarżoną decyzję w części obejmującej ankietę dotyczącą urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących do budynków ZUS. W uzasadnieniu powyższej decyzji Prezes ZUS wskazał, iż w dniu 7 maja 2015 r. Fundacja wystąpiła z wnioskiem o udostępnienie informacji publicznej zawierającym trzy ankiety dotyczące: 1) wykorzystywania monitoringu wizyjnego w siedzibie ZUS, 2) urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących do budynków ZUS. 3) wykorzystywania narzędzi do automatycznej lub półautomatycznej analizy danych. W odpowiedzi na wniosek Fundacji Prezes ZUS, powołując się na art. 5 ust. 1 u.d.i.p. w zw. z art. 36 ust. 1 i art. 39 ust. 2 ustawy o ochronie danych osobowych, odmówił udostępnienia wnioskowanej informacji publicznej decyzją z dnia [...] maja 2015 r. Pismem z dnia 28 maja 2015 r. Fundacja wystąpiła do Prezesa ZUS z wnioskiem o ponowne rozpatrzenie sprawy. Prezes ZUS uwzględnił częściowo wniesiony środek odwoławczy i odnośnie wniosku o udostępnienie informacji publicznej dotyczącej wypełnienia ankiet na temat wykorzystywania monitoringu wizyjnego w siedzibach oddziałów i Centrali ZUS organ postanowił uchylić zaskarżoną decyzję z dnia [...] maja 2015 r. i udostępnić żądane informacje. Nadto stwierdził, iż przypadku monitoringu wizyjnego siedzib poszczególnych oddziałów, żądane informacje udostępnią właściwe oddziały. W części wniosku o udostępnienie informacji publicznej dotyczącej wypełnienia ankiet odnośnie urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących do budynków ZUS organ postanowił utrzymać w mocy zaskarżoną decyzję z dnia [...] maja 2015 r. Argumentując odmowę udostępnienia powyższej informacji publicznej Prezes ZUS podniósł, iż na podstawie art. 33 ust. 1 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2015 r. poz. 121), jest administratorem między innymi trzech rozległych baz danych w postaci [...] oraz innych rejestrów niezbędnych do realizacji zadań określonych odrębnymi przepisami, a także przetwarza dokumenty źródłowe stanowiące podstawę do ustalania praw i obowiązków ubezpieczonych oraz płatników składek i innych podmiotów określonych w przepisach prawa. Na podstawie art. 36 ust. 1 ustawy o ochronie danych osobowych, ZUS zobowiązany jest do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych zgromadzonych w ww. bazach. Wśród szeregu środków, które składają się na powyższą ochronę należy wymienić między innymi zabezpieczenie baz danych i dokumentów przed dostępem do nich osób nieupoważnionych, co realizowane jest przez system złożony z wzajemnie współzależnych elementów, do których zaliczają się budynki, urządzenia techniczne i programy komputerowe oraz ich umiejscowienie i stopień aktywnego wykorzystania, jak również sposób organizacji pracy, w tym zasady dostępu do baz danych i dokumentów oraz ich obiegu w ZUS. Można więc zauważyć, że pytania zawarte w ankiecie załączonej do wniosku o udostępnienie informacji publicznej dotyczą większości z istotnych elementów składających się na ww. system zabezpieczenia ww. baz danych przed dostępem do nich osób nieupoważnionych. Mając powyższe na uwadze organ stwierdził, że ZUS jako administrator ww. baz danych oraz dokumentów źródłowych, a zwłaszcza pracownicy ZUS, jako osoby upoważnione do przetwarzania danych zawartych w tych bazach i dokumentach mają, wynikający z art. 39 ust. 2 powołanej ustawy, obowiązek zachowania w tajemnicy nie tylko danych zawartych w tych bazach i dokumentach, ale również informacji co do sposobu zabezpieczenia ww. baz danych i dokumentów. Tak więc pomimo, że informacje, jakich udostępnienia żąda wnioskujący, mają charakter informacji publicznej, to, z uwagi na treść art. 5 ust. 1 ustawy o dostępie do informacji publicznej w związku z art. 39 ust. 2 ustawy o ochronie danych osobowych, prawo dostępu do informacji publicznej doznaje w tym przypadku ograniczenia. Prezes ZUS nie zgodził się z zarzutem zawartym we wniosku o ponowne rozpatrzenie sprawy, że Prezes ZUS jako adresat wniosku, jest przedstawicielem administratora danych — ZUS, ale sam nie jest osobą upoważnioną do przetwarzania danych, na której spoczywa obowiązek zachowania w tajemnicy przetwarzanych danych i sposobów ich przetwarzania. ZUS nie jest bowiem spersonifikowanym podmiotem prawnym, lecz działa poprzez swoje organy przedstawicielskie, które poszczególne uprawnienia czerpią z przepisów prawa odnoszących się wprost do tych organów lub Zakładu Ubezpieczeń Społecznych, który reprezentują. W ocenie Prezesa ZUS, nie jest również poprawna interpretacja przepisu art. 39 ust. 2 ustawy o ochronie danych osobowych dokonana przez odwołującego się podmiot, a polegająca na przyjęciu, że przepis ten nie wprowadza tajemnicy ustawowo chronionej skoro wprost z literalnego brzmienia tego przepisu wynika obowiązek zachowania w tajemnicy między innymi sposobów zabezpieczenia przetwarzanych danych. Decyzja Prezesa ZUS z dnia [...] czerwca 2015 r. stała się przedmiotem skargi wniesionej przez Fundację do Wojewódzkiego Sądu Administracyjnego w Warszawie. Podnosząc zarzut naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 5 ust 1 u.d.i.p. w zw. z art. 36 ust 1 i art. 39 ust 2 ustawy o ochronie danych osobowych, poprzez błędne przyjęcie, że informacja objęta wnioskiem Fundacji z dnia 7 maja 2015 r. o udostępnienie informacji publicznej w zakresie obejmującym ankietę dotyczącą urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób nie podlega udostępnieniu, Fundacja wniosła o stwierdzenie, iż doszło do naruszenia prawa materialnego i uchylenie zaskarżonej oraz poprzedzającej ją decyzji z dnia [...] maja 2015 r., zobowiązanie Prezesa ZUS do ponownego rozpatrzenia wniosku Fundacji z dnia 7 maja 2015 r. o udostępnienie informacji publicznej, jak też zasądzenie zwrotu kosztów postępowania. W uzasadnieniu skargi Fundacja wskazała, iż przedmiotem sporu jest w tej sprawie wyłącznie odpowiedź na pytania zawarte w ankiecie numer 2, dotyczące urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących do budynków ZUS. Zdaniem Fundacji, art. 36 ust 1 i art. 39 ust 2 ustawy o ochronie danych osobowych nie mogą być podstawą odmowy udostępnienia żądanej informacji publicznej. Zgodnie bowiem z art. 5 ust. 1 ustawy o dostępie do informacji publicznej prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie "innych tajemnic ustawowo chronionych". W ocenie Prezesa ZUS inna tajemnica, o której mowa w przytoczonym przepisie, wynika z art. 39 ust 2 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Obowiązek nałożony na osoby upoważnione do przetwarzania danych nie stanowi "innej tajemnicy ustawowo chronionej" - dotyczy on jedynie sposobu zachowania się osób, które "technicznie" dokonują przetwarzania danych osobowych z upoważnienia administratora danych osobowych. Ustawa o ochronie danych osobowych nie wprowadza tajemnicy ustawowo chronionej w rozumieniu art. 5 ust. 1 ustawy o dostępie do informacji publicznej. Stanowisko to potwierdził jednoznacznie Naczelny Sąd Administracyjny w wyroku z dnia 25 kwietnia 2014 r. sygn. akt I OSK 2499/13. Zgodnie z nim, "tajemnicę, o jakiej stanowi art. 39 ust. 2 ustawy o ochronie danych osobowych, kwalifikuje się jako swojego rodzaju tajemnicę pracowniczą, zakazującą udostępniania danych osobowych osobom nieupoważnionym, która nie ma waloru tajemnicy ustawowo chronionej stanowiącej przesłankę ograniczającą dostęp do informacji publicznej". Nadto wniosek Fundacji adresowany był do Prezesa ZUS, reprezentującego ZUS. W tej sytuacji Prezes ZUS jest przedstawicielem administratora danych – ZUS - a nie osobą upoważnioną do przetwarzania danych, na której spoczywa obowiązek zachowania w tajemnicy przetwarzanych danych i sposobów ich przetwarzania. Wobec tego Prezes ZUS w sposób arbitralny uznał, że udostępnienie Fundacji objętych wnioskiem informacji stanowić będzie zagrożenie dla ochrony przetwarzanych przez ZUS zbiorów danych osobowych. Nie sposób zgodzić się z tą tezą, co jest szczególnie wyraźne w przypadku takich pytań, jak pytanie nr 8 w części I ankiety o treści "Czy sposób wykorzystania wskazanego urządzenia lub programu przez Państwa instytucję jest poddany regulacjom (np. wewnętrznemu regulaminowi)?". Zakładając, iż ze względu na konieczność ochrony danych osobowych oraz sposób ich zabezpieczenia, Prezes ZUS powinien odpowiedzieć przynajmniej na część pytań zawartych w ankiecie, które mają charakter ogólny i nie dotyczą bezpośrednio ochrony danych osobowych w ZUS. Fundacja podkreśliła, iż przedmiotowy wniosek jest elementem projektu pt. [...], którego celem jest zbadanie praktyk instytucji publicznych w zakresie nabywania i wykorzystywania urządzeń oraz programów służących zbieraniu i analizie informacji na potrzeby zapewniania porządku i bezpieczeństwa publicznego, wykrywania nadużyć, czy zarządzania. Jednym z ważniejszych elementów prowadzonego badania są sposoby kontroli pracowników oraz urządzeń do automatycznej weryfikacji tożsamości osób wchodzących do budynków. W ocenie Fundacji rozwój środków technologicznych umożliwiających kontrolę w tych obszarach stawia bowiem nowe wyzwana w zakresie ochrony prywatności i innych praw osób nadzorowanych. Z tego względu udostępnienie informacji objętych wnioskiem do Prezes ZUS ma szczególne znaczenie, przyczynią się one bowiem do bliższego poznania przez Fundację (a następnie opinię publiczną, której Fundacja przedstawi wyniki swoich badań) sposobów nadzorowania pracowników i osób wchodzących do budynków publicznych. W odpowiedzi na skargę Prezes ZUS wniósł o jej oddalenie oraz w całości podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Odnosząc się do zarzutów skargi organ podkreślił, że stanowisko strony skarżącej prowadzi do konkluzji, iż władze publiczne oraz inne podmioty wykonujące zadania publiczne, wymienione w art. 4 ust. 1 ustawy o dostępie do informacji publicznej, w tym na podstawie pkt 4 powołanego ustępu Prezes ZUS jako przedstawień administratora danych, są zobowiązane do udostępnienia informacji publicznej dotyczącej sposób zabezpieczenia danych osobowych, bo nie stosuje się do nich art. 39 ust. 2 ustawy o ochronie danych osobowych. Z tym stanowiskiem nie sposób się zgodzić, gdyż racjonalny ustawodawca nie nakładałby w art. 39 ust. 2 powołanej ustawy obowiązku zachowania w tajemnicy sposobów zabezpieczenia danych osobowych, czyli ich nieujawniania i jednocześnie na podstawie art. 4 u.d.i.p. nakładałby obowiązek ich udostępniania. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Tylko w przypadku stwierdzenia naruszenia prawa Sąd władny jest wzruszyć zaskarżoną decyzję. Jednak nie każde naruszenie prawa przez organ administracji publicznej daje Sądowi podstawę do uchylenia zaskarżonej decyzji. Przepis art. 145 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270, dalej jako p.p.s.a.) określa, w jakich przypadkach decyzje podlegają uchyleniu. W niniejszej sprawie przedmiotem zaskarżenia stała się decyzja Prezesa ZUS odmawiająca udostępnienia informacji publicznej ze względu na ochronę tajemnicy ustawowo chronionej. W sprawie bezsporne jest, że wniosek Fundacji z dnia 7 maja 2015 r. został skierowany do podmiotu objętego dyspozycją art. 4 u.d.i.p. Między stronami nie było również sporne, iż w rozumieniu przepisów ustawy o dostępie do informacji publicznej informacje stanowiące odpowiedź na pytania ujęte we wniosku stanowią informację publiczną. Sąd ocenę tę podziela. W tych okolicznościach Sąd zobowiązany był do oceny, czy organ prawidłowo zaliczył wnioskowane informacje do informacji podlegającej ustawowej ochronie, gdyż takie zakwalifikowanie żądanych informacji stanowiło zasadniczy powód odmowy ich udzielenia. Konstytucja Rzeczypospolitej Polskiej w art. 61 ust. 1 stanowi, że obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu (ust. 2). Ograniczenie prawa, o którym mowa w ust. 1 i 2, może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa (ust. 3). Jak wynika z brzmienia przywołanych norm konstytucyjnych dostęp do informacji publicznej nie ma charakteru absolutnego. Uprawnienie to może być w pewnych sytuacjach ograniczone, zawsze wtedy gdy wspólne interesy społeczności są dobrem podlegającym ochronie w pierwszej kolejności. Prawo do informacji publicznej ma służyć tworzeniu społeczeństwa obywatelskiego, które kontroluje działania władzy publicznej, a działania te mają być bardziej transparentne. Jednak ujawnienie niektórych informacji mogłoby zagrażać interesom państwa prawa, a tym samym zagrażać interesom wszystkich obywateli. Ustawa o dostępie do informacji publicznej służy realizacji konstytucyjnego prawa dostępu do wiedzy o funkcjonowaniu organów władzy publicznej, jak też podmiotów realizujących zadania publiczne bądź też dysponujących majątkiem publicznym. Ponieważ jednak prawo to, jak wcześniej wskazano, nie ma charakteru absolutnego, w art. 5 u.d.i.p. zostały wskazane ograniczenia w dostępie do informacji publicznej. Zgodnie z art. 5 ust. 1 u.d.i.p. prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych. Zasady ochrony informacji, które wymagają zabezpieczenia przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową, uregulowane zostały w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228 ze zm.). Co zaś się tyczy przypadku "ochrony innych tajemnic ustawowo chronionych" jako przesłanki ograniczenia prawa do informacji publicznej, doktryna przyjmuje, iż zazwyczaj ochrona ta wynika np. z tajemnicy adwokackiej, radcowskiej, lekarskiej, bankowej, ubezpieczeniowej, notarialnej, ochrony danych osobowych, itd., będzie mieściła się w kategorii ochrony porządku publicznego lub praw i wolności osób trzecich – patrz M. Kałczyński – Komentarz do art. 5 ustawy o dostępie do informacji publicznej, LEX. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182) w art. 1 ust. 1 i 2 stanowi, iż każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Zgodnie z art. 2 ust. 1, ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Podkreślenia wymaga, iż ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych, co koresponduje z art. 5 ust. 1 u.d.i.p. Nie można przy tym mieć wątpliwości, iż zasady postępowania przy przetwarzaniu danych osobowych jest pojęciem szerszym niż samo przetwarzanie danych osobowych i obejmuje swym zasięgiem również zabezpieczanie danych osobowych, co znajduje odzwierciedlenie w Rozdziale 5 tej ustawy o ochronie danych osobowych. Zgodnie z art. 36 ust. 1 powołanej ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W świetle zaś art. 39 ust. 2 ww. ustawy, osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Komentatorzy podkreślają, iż ustawodawca nie podaje, jakie konkretnie środki mają być zastosowane przez administratora danych. Obowiązki administratora wynikają z postawionych mu zadań. Zadania te ujęte są bardzo szeroko i ogólnie: administrator ma - jak zaznaczono w komentowanym przepisie - zapewnić ochronę przetwarzanych danych osobowych. Tak ujęty obowiązek jest następnie uszczegółowiony w ten sposób, że wskazane zostały najistotniejsze zadania polegające na zabezpieczeniu danych przed ich: a) udostępnieniem osobom nieupoważnionym, b) zabraniem przez osobę nieuprawnioną, c) uszkodzeniem, d) zniszczeniem, e) zmianą, f) utratą, g) przetwarzaniem z naruszeniem ustawy. Zadania te powinny być zrealizowane przez zastosowanie odpowiednich, należy przez to rozumieć: skutecznych, środków technicznych i organizacyjnych. Ustawodawca nie przesądza, jakie to mają być środki. Mogą być one różnego rodzaju, od rozwiązań architektoniczno-budowlanych przez systemy alarmowe i służby ochrony aż po środki technicznego i czysto informatycznego charakteru (karty chipowe, kody dostępu, systemy kodujące i przeciwdziałające hakerstwu). Administrator powinien dzięki nim wyeliminować wystąpienie opisanych wyżej szkodliwych zdarzeń, a gdy to niemożliwe - maksymalnie ograniczyć ryzyko ich pojawienia się – patrz J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 36 ustawy o ochronie danych osobowych, LEX. Przepis art. 39 ust. 2 ustawy o ochronie danych osobowych wprost nakazuje zachować w tajemnicy informacje dotyczące sposobu zabezpieczania danych osobowych. Ponownie odwołując się do poglądów doktryny wskazać należy, iż piśmiennictwie powyższy obowiązek jest traktowany jako tajemnica zawodowa. Oznacza to, iż podobnie jak tajemnica adwokacka, lekarska, bankowa i inne podlega prawnej ochronie. Wskazuje się przy tym, że tajemnica osoby upoważnionej do przetwarzania danych osobowych (odpowiednio zobowiązanej do zachowania w tajemnicy sposobu ich zabezpieczenia) to tajemnica publicznoprawna, ustanowiona w drodze ustawy (wyznaczającej zakres informacji objętych ochroną), a ustawa o ochronie danych osobowych przewiduje zasady odpowiedzialności za naruszenie tajemnicy (por. G. Sibiga, Tajemnica osoby upoważnionej do przetwarzania danych osobowych (w:) Ochrona danych osobowych. Skuteczność regulacji, red. G. Szpor, Warszawa 2009, s. 237). Zwraca się też uwagę, że tajemnica ta powinna być kwalifikowana jako tajemnica funkcyjna, a nie zawodowa, gdyż upoważnienie do przetwarzania danych może zostać nadane nie tylko pracownikom administratora, ale także innym osobom podlegającym administratorowi, a instytucja upoważnienia nie została powiązana z wykonywaniem określonych zawodów. Niemniej, co istotne w niniejszej sprawie, tajemnica określona w art. 39 ust. 2 powołanej ustawy stanowi tajemnicę publicznoprawną, której źródłem stosowania jest przepis ustawowy. Oznacza to, iż wyłączenie z jawności publicznej informacji o sposobach zabezpieczania danych osobowych (w tym systemach technicznych i programach komputerowych) jest zgodne z postanowieniami art. 5 ust. 1 u.d.i.p. Zatem żądana przez stronę skarżącą informacja publiczna w postaci podania (ujawnienia w ankiecie) urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących od budynków ZUS, jako istotna część techniczna sytemu ochrony baz danych, korzysta z ochrony prawnej określonej powyższym przepisem. Nie bez znaczenia przy tym pozostaje kwestia odpowiedzialności za złamanie obowiązku poufności. Otóż obowiązek zachowania danych osobowych i systemów zabezpieczeń tych danych w tajemnicy oznacza zakaz ich ujawniania innym osobom, przekazywania, wykorzystywania. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną przewidzianą nie tylko w art. 51 i 52 ustawie o ochronie danych osobowych, jak również w kodeksie karnym. W świetle przepisu art. 266 § 1 k.k. kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zgodnie z § 2 wskazanego powyżej artykułu funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację niejawną o klauzuli "zastrzeżone" lub "poufne" lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3. Ściganie przestępstwa określonego w art. 266 § 1 k.k. następuje na wniosek pokrzywdzonego. Wobec powyższego jako w pełni uzasadnione jawi się stanowisko organu przedstawione w odpowiedzi na skargę, iż racjonalny ustawodawca nie dopuszcza do sytuacji, w której z jednej strony przepisem ustawowym nakazuje podmiotowi pod rygorem odpowiedzialności karnej zachowanie w poufności informacji o sposobach zabezpieczania danych osobowych, zaś z drugiej innym przepisem rangi ustawowej wyłącza ten obowiązek. W takich sytuacjach trzeba mieć na względzie pewną spójność systemu prawa, która w tym przypadku ustanawia prymat ochrony informacji nad prawem do jej uzyskania przez obywatela. Zwłaszcza jeśli weźmie się pod uwagę, iż organ nie odmawia udostępnienia informacji o danych ogólnych, lecz danych zindywidualizowanych, o stosowanych rozwiązaniach technicznych, a wchodzących w skład sytemu ochrony danych osobowych. Mając powyższe na uwadze zarzuty skargi należało uznać za niezasadne. Odnosząc się w tym miejscu do argumentacji wskazanej w skardze i powołanym w niej wyroku NSA z dnia 25 kwietnia 2014 r. wskazać należy, iż orzeczenie to zapadło w zupełnie innym stanie faktycznym i prawnym, dotyczyło bowiem odmowy udostępnienia informacji publicznej w zakresie obejmującym ekspertyzy naukowe, opinie prawne. Z tego też względu pogląd w nim wyrażony, jako nieodnoszący się do przedmiotu niniejszej sprawy, nie może mieć w niniejszej sprawie zastosowania. Z tych wszystkich względów Sąd, na zasadzie art. 151 p.p.s.a., orzekł jak w sentencji wyroku. |