Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędziowie WSA Ewa Grochowska-Jung, WSA, Andrzej Kołodziej (spr.), Protokolant Anna Siwonia, po rozpoznaniu na rozprawie w dniu 8 grudnia 2005 r. sprawy ze skargi J. S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2005 r. nr [...] w przedmiocie odmowy udostępnienia informacji publicznej oddala skargę.

Wnioskiem z dnia 11 maja 2005 r. J. S. zwrócił się, na podstawie art. 1, 2, 3, 4 oraz 10 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 ze zm.), do Generalnego Inspektora Ochrony Danych Osobowych o udostępnienie w formie pisemnej "Polityki bezpieczeństwa", o której mowa w § 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), obowiązującej w Biurze Generalnego Inspektora Danych Osobowych.

Generalny Inspektor Ochrony Danych Osobowych decyzją [...] z dnia [...]maja 2005 r., wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 16 ust. 1 w zw. z art. 1 ust. 1, art. 2 ust. 1 i art. 5 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej w zw. z ustawą z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 ze zm.), odmówił uwzględnienia wniosku.

W uzasadnieniu wskazał, że dokument, o którego udostępnienie wnioskuje J. S. zawiera szczegółowe informacje dotyczące bezpieczeństwa danych osobowych przetwarzanych w Biurze Generalnego Inspektora Ochrony Danych Osobowych, objętych z tego powodu tajemnicą służbową.

W świetle przepisu art. 5 ust. 1 ustawy o dostępie do informacji publicznej, do informacji tych nie znajduje zatem zastosowanie powołana ustawa, zaś mogą one być ujawnione wyłącznie na zasadach i w zakresie określonych w ustawie o ochronie informacji niejawnych.

We wniosku o ponowne rozpatrzenie sprawy J.S. zarzucił decyzji, że została wydana z naruszeniem przepisów prawa materialnego i wniósł o jej uchylenie oraz o udostępnienie żądanej informacji, uzasadniając swoje stanowisko tym, że polityka bezpieczeństwa jest aktem o charakterze wewnętrznym i powinna spełniać wszystkie wymagania stawiane aktom normatywnym, a skoro, zgodnie z art. 6 ust. 1 lit. b ustawy o dostępie do informacji publicznej, udostępnieniu podlega w szczególności informacja o projektowaniu aktów normatywnych, to tym bardziej udostępnieniu podlega obowiązujący już akt normatywny. W jego ocenie nie ma znaczenia przepis art. 5 ust. 1 ww. ustawy, gdyż art. 6 ust. 1 lit. b ustawy o dostępie do informacji publicznej jest przepisem szczegółowym, którego zakresu unormowania nie wyłączają regulacje ogólne. Wnioskodawca podniósł ponadto, że gdyby ustawodawca przewidział możliwość zakwalifikowania polityki bezpieczeństwa jako informacji stanowiącej tajemnicę służbową, wyraźnie by o tym postanowił. Jako nieprawidłowe uznał ponadto zakwalifikowanie polityki bezpieczeństwa do dokumentów objętych tajemnicą służbową z tego powodu, iż żaden z elementów jej treści, wskazany we wspomnianym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji, nie wypełnia znamion definicji tajemnicy służbowej, określanej w art. 2 pkt 2 ustawy o ochronie informacji niejawnych.

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...]z dnia [...] czerwca 2005 r., wydaną na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 ze zm.), art. 16 ust. 1 w zw. z art. 1 ust. 1, art. 2 ust. 1 i art. 5 ust. 1 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 ze zm.), w zw. z ustawą o ochronie informacji niejawnych (Dz. U. Nr 111, poz. 95 ze zm.), po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu wskazał w szczególności, powołując się na przepis art. 2 pkt 2 ustawy o ochronie informacji niejawnych, że udostępnienie wnioskodawcy polityki bezpieczeństwa byłoby działaniem szkodliwym przede wszystkim z punktu widzenia interesu Biura GIODO oraz interesu publicznego i państwowego, ponieważ Generalny Inspektor jest centralnym organem administracji państwowej, co obliguje go do szczególnej ochrony wszelkich informacji przetwarzanych w związku z realizacją powierzonych mu zadań publicznych, w tym zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Organ stwierdził też, że stosowanie do treści § 4 wspomnianego rozporządzenia oraz art. 1 ust. 1 ustawy o ochronie informacji niejawnych, wszystkie wymienione w § 4 rozporządzenia obligatoryjne składniki polityki bezpieczeństwa, mogą być uznane za informacje niejawne.

Nie jest przy tym konieczne, by przepisy rozporządzenia wprost stanowiły, iż polityka bezpieczeństwa zawiera informacje będące tajemnicą służbową, gdyż o tym, co stanowi taką tajemnicę, przesądzają przepisy ustawy o ochronie informacji niejawnych, która zawiera legalną definicję tajemnicy, która ma zastosowanie do wszystkich przepisów składających się na system prawa obowiązującego w Rzeczypospolitej Polskiej.

Generalny Inspektor, powołując się na treść art. 2 ust. 1 ustawy o dostępie do informacji publicznej stanowiącego, że prawo dostępu do informacji publicznej przysługuje z zastrzeżeniem art. 5 ustawy, wywiódł, iż z ww. art. 5 wynika, że przepisy ustawy o ochronie informacji niejawnych mają wobec przepisów ustawy o dostępie do informacji publicznej charakter legi speciali i są stosowane na zasadzie pierwszeństwa, co jest zgodne z poglądem doktryny.

Zdaniem organu, brak jest jakichkolwiek racjonalnych podstaw do zastosowania art. 6 ust. 1 pkt 1 lit. b ustawy o dostępie do informacji publicznej, odnoszącego się do projektowania aktów normatywnych, do obwiązujących już aktów normatywnych, zaś polityce bezpieczeństwa trudno przypisać charakter aktu normatywnego w rozumieniu art. 6 ust. 2 pkt 1 lit. b wspomnianej ustawy.

Odnosząc się do powołania się J. S. na informacje opublikowane na stronie internetowej Biura GIODO, Generalny Inspektor wskazał, że jego ocena nie jest uprawniona, zaś nawet gdyby znalazły się tam wzmiankowane wskazówki, to o treści polityki bezpieczeństwa przesądzają przecież przepisy dotyczące ochrony danych osobowych.

Natomiast o rzekomym zawyżeniu "klauzul tajności" wnioskodawca może powiadomić organy ścigania, a podnoszony zarzut nie ma ze sprawą żadnego związku.

W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, J. S. wniósł o uchylenie zaskarżonej decyzji jako naruszającej prawo oraz zasądzenie kosztów postępowania według norm przepisanych. W uzasadnieniu skargi w zasadzie ponowił swoją argumentację zaprezentowaną we wniosku o ponowne rozpatrzenie sprawy oraz w szczególności stwierdził, że organ nie wskazał, ujawnienie których elementów polityki bezpieczeństwa mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej, zgodnie z definicją tajemnicy służbowej. Zarzucił ponadto, że Generalny Inspektor nie dokonał subsumcji istniejącego stanu faktycznego, tzn. nie wskazał i nie uzasadnił, który z elementów polityki bezpieczeństwa stanowi tajemnicę służbową. Zwrócił bowiem uwagę na niekonsekwencję organu, który w decyzji z [...] maja 2005 r. stwierdził w odniesieniu do obligatoryjnych elementów polityki bezpieczeństwa, że "informacje tego rodzaju objęte są natomiast tajemnicą służbową", zaś w decyzji z [...] czerwca 2005 r., iż "wszystkie obligatoryjne składniki polityki bezpieczeństwa mogą być uznane za informacje niejawne". Wreszcie skarżący wskazał na naruszenie art. 107 kpa, gdyż zaskarżona decyzja nie zawiera uzasadnienia faktycznego odnośnie przyczyn uznania elementów polityki bezpieczeństwa za informacje niejawne.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie z argumentacją faktyczną i prawną zbieżną z zawartą w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i § 2 ustawy dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości, m.in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

Skarga oceniana pod tym kątem nie zasługuje na uwzględnienie.

Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 ze zm.) wprowadza generalną zasadę jawności w sprawach publicznych, stanowiąc w art. 1 ust. 1, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu na zasadach i w trybie określonych w niniejszej ustawie. Użyte w tym przepisie wyrażenie "na zasadach i w trybie określonych w niniejszej ustawie" oznacza, że aby miała ona zastosowanie, konieczne jest spełnienie zakresu przedmiotowego i podmiotowego ustawy. Zakres przedmiotowy dotyczy udostępnienia informacji publicznej, której ustawowa definicja jest bardzo szeroka i nieprecyzyjna, zaś w art. 6 zawarte jest tylko przykładowe wyliczenie informacji publicznych podlegających udostępnieniu. Zarówno w orzecznictwie, jak również w doktrynie przyjmuje się, że informacją publiczną jest każda wiadomość wytworzona przez szeroko rozumiane władze publiczne, osoby pełniące funkcje publiczne oraz inne podmioty, które tę władzę realizują, bądź gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Charakter taki ma też wiadomość niewytworzona przez podmioty publiczne, lecz odnosząca się do tych podmiotów. Niezbędne jest przy tym, by informacja ta dotyczyła sfery faktów, danych lub określonych stanów i zjawisk w dacie jej udostępnienia. Zakres podmiotowy obejmuje z jednej strony podmioty uprawnione do uzyskania informacji publicznej, z drugiej zaś obowiązane do jej udzielenia. Jeśli chodzi o pierwsze z nich, to ustawodawca ich krąg określa dość precyzyjnie i szeroko poprzez użycie w art. 2 ust. 1 sformułowania "każdemu".

Natomiast krąg podmiotów obowiązanych wynika z art. 4 ust. 1 i 2 ustawy i obejmuje władze publiczne oraz inne podmioty wykonujące zadania publiczne, a także związki zawodowe i ich organizacje oraz partie polityczne.

Przy tak określonym zakresie przedmiotowym i podmiotowym ustawy nie ulega wątpliwości, że wniosek J. S. dotyczy udostępnienia informacji publicznej, a Generalny Inspektor Ochrony Danych Osobowych jako centralny organ administracji publicznej, właściwy w sprawach ochrony danych osobowych, jest podmiotem obowiązanym w rozumieniu przepisów ustawy o dostępie do informacji publicznej.

Prawo do informacji publicznej nie ma jednak charakteru nieograniczonego, bowiem w art. 2 ust. 1 ustawy o dostępie do informacji publicznej ustawodawca wprowadził ograniczenie podmiotowe i postanowił, iż co prawda prawo to przysługuje każdemu, lecz z zastrzeżeniem art. 5. Stosownie do jego treści, prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych.

Żądana przez skarżącego informacja publiczna w postaci polityki bezpieczeństwa obowiązującej w Biurze Generalnego Inspektora Ochrony Danych Osobowych uregulowana jest w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Przepis § 1 pkt 1 rozporządzenia stanowi, że określa ono sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Z kolei, zgodnie z § 3 ust. 1 na dokumentację, o której mowa w § 1 pkt 1 składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją", a dokumentację tę, stosownie do § 3 ust. 2, prowadzi się w formie pisemnej, brak jednocześnie wymogu, by polityka bezpieczeństwa musiała być zawarta w jednym dokumencie.

Przykładowe wyliczenie elementów wchodzących w skład polityki bezpieczeństwa zawiera § 4 powołanego rozporządzenia, a są to:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informatycznych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Biorąc pod uwagę przedmiot regulacji rozporządzenia, określany w § 1 pkt 1, elementy polityki bezpieczeństwa oraz samą nazwę dokumentacji, uzasadnionym jest przyjęcie, iż polityka bezpieczeństwa zawiera bardzo istotne informacje służące ochronie danych osobowych i minimalizujące zagrożenia oraz zapewniające poufność, integralność i rozliczalność przetwarzanych danych.

Zatem należy podzielić stanowisko Generalnego Inspektora, iż nieuprawnione ujawnienie tych informacji mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej - Biura GIODO - powołanego przecież do ochrony danych osobowych.

Skoro tak, to celowe jest objęcie polityki bezpieczeństwa ochroną przed nieuprawnionym dostępem, przewidzianą w ustawie z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 ze zm.), która zgodnie z art. 1 ust. 1 określa zasady ochrony informacji, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażenia, także w trakcie ich opracowania, zwanych dalej "informacjami niejawnymi".

Tajemnicą służbową, w myśl art. 2 pkt 2 ustawy o ochronie informacji niejawnych, jest informacja niejawna niebędąca tajemnicą państwową, uzyskana w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej.

Klasyfikowanie informacji niejawnych i nadawanie klauzul tajności uregulowane jest w rozdziale 4 ustawy o ochronie informacji niejawnych, a klauzulę tajności przyznaje osoba, która jest upoważniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału (art. 21 ust. 1). Informacje niejawne zaklasyfikowane jako stanowiące tajemnicę służbową oznacza się klauzulą "poufne" lub "zastrzeżone" (art. 23 ust. 2 pkt 1 i 2).

Z treści przedłożonego przez pełnomocnika organu na rozprawie zarządzenia nr [...] Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2002 r. wynika, że klauzulę "zastrzeżone" nadaje się m.in. dokumentacji dotyczącej administrowania serwerami oraz aplikacjami eksploatowanymi w Biurze GIODO, dokumentacji dotyczącej zabezpieczeń zbiorów danych zgłoszonych do rejestracji, dokumentacji kadrowo-płacowej i płacowej, natomiast klauzulę "poufne", m.in. dokumentacji związanej z ochroną fizyczną Biura GIODO i z ochroną sieci teleinformatycznej w nim zainstalowanej. Powyższe wskazuje zatem, że elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej. W takiej sytuacji Generalny Inspektor, zgodnie z prawem, stosownie do art. 1b ust. 1 ustawy o dostępie do informacji publicznej, odmówił udostępnienia informacji w formie decyzji z powołaniem się na ochronę tajemnicy służbowej. Nie ma racji skarżący, twierdząc, że przepis art. 6 ust. 1 pkt 1 lit. b jest przepisem szczególnym, którego zakresu normowania nie wyłączają regulacje ogóle, w szczególności art. 5 ust. 1 ustawy o dostępie do informacji publicznej. Należy w tej kwestii zgodzić się ze stanowiskiem GIODO, że przepis art. 5 ust. 1 stanowi wprost, iż przepisy ustawy o ochronie informacji niejawnych są przepisami szczególnymi w stosunku do przepisów ustawy o dostępie do informacji publicznej, co znajduje potwierdzenie w poglądach doktryny.

W sprawie nie mają żadnego znaczenia ustalenia, czy polityka bezpieczeństwa jest źródłem prawa wewnętrznego, czy też nie, gdyż odmowa jej udostępnienia z rozstrzygnięciem tej kwestii w żaden sposób się nie łączy.

Nie sposób również zgodzić się ze skarżącym odnośnie braku uzasadnienia faktycznego zaskarżonej decyzji i naruszenia w związku z tym art. 107 kpa, bowiem decyzja zawiera bardzo obszerne i wyczerpujące uzasadnienie, zaś wytknięte rozbieżności w uzasadnieniach obydwu decyzji są zupełnie nieistotne, by mogły mieć wpływ na wynik rozstrzygnięcia.

Wreszcie trudno uznać za uzasadniony zarzut zawyżenia klauzuli tajności, który jest jedynie przejawem dowolnej interpretacji skarżącego, niepopartym żadnym argumentem.

Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji wyroku.