WSA w Łodzi w wyroku z 12.2.2019 r. ( II SAB/Łd 181/18) kontrolował proces realizacji prawa do informacji, w ramach którego wnioskodawca zwrócił się w formie elektronicznej o udostępnienie m.in. rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania; informacji z jaką datą rozpoczęto w urzędzie prace nad rejestrami oraz dokumentu na podstawie którego rozpoczęto prace nad ww. rejestrami, a także wskazania czynności przetwarzania, za które odpowiada Wydział Edukacji.

Adresat wniosku wyjaśnił w odpowiedzi na wniosek: 

,,stanowią natomiast dokumentację wewnętrzną wspomagającą pracę administratora i inspektora ochrony danych w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia oraz gwarantowało realizację zasady rozliczalności przed organem nadzoru. Z uwagi na fakt, że powyższe rejestry zawierają ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, nie podlegają ujawnianiu i powszechnemu dostępowi. Organ podkreślił, że powyższy pogląd wyraził również w komentarzu do rozporządzenia dr Paweł Fajgielski, według którego rejestr czynności przetwarzania, w odróżnieniu od rejestru zbiorów (prowadzonego przez organ nadzorczy oraz przez administratora bezpieczeństwa informacji na podstawie u.o.d.o.1997), nie ma charakteru jawnego i powszechnie dostępnego, a charakter wewnętrzny. Oznacza to, że rejestr czynności przetwarzania nie powinien być publikowany na stronach internetowych administratora ani udostępniany na żądanie zainteresowanych osób, bowiem przepis nakazuje jedynie udostępnianie rejestru organowi nadzorczemu. Brak jawności rejestru wynika m.in. z treści informacji w nim zawartych, które wymagają ochrony przed ujawnieniem osobom nieuprawnionym. Dotyczy to przede wszystkim informacji na temat zastosowanych zabezpieczeń, które powinny być objęte tajemnicą (Paweł Fajgielski, Komentarz: Ogólne rozporządzenie o ochronie danych osobowych, Ustawa o ochronie danych osobowych. Wolters Kluwer Polska Sp. z o.o. 2018). Z tych względów, w ocenie organu, rejestry te są dokumentami wewnętrznymi. Za takim podejściem przemawia również obowiązujące orzecznictwo Naczelnego Sądu Administracyjnego, zgodnie z którym nie stanowią informacji publicznej i nie podlegają udostępnianiu na podstawie ustawy o dostępie do informacji publicznej dokumenty wewnętrzne, które nie są skierowane do podmiotów zewnętrznych. Dokumenty takie służą wymianie informacji, zgromadzeniu niezbędnych materiałów, uzgadnianiu poglądów i stanowisk, mogą określać zasady działania w określonych sytuacjach; mogą też być fragmentem przygotowań do powstania aktu będącego formą działalności danego podmiotu (wyrok NSA z dnia 18 sierpnia 2010r. , I OSK 851/10). Ponadto, organ zauważył, że rejestr czynności przetwarzania wpisuje się w politykę bezpieczeństwa Urzędu Miasta Ł. i jest dokumentem wewnętrznym opracowanym w związku z koniecznością wypełnienia obowiązku m. in. w zakresie udokumentowania stosowanych przez administratora środków technicznych, wykazu zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Zdaniem Generalnego Inspektora Danych Osobowych, który na stronie internetowej w zakładce: “Wskazówki dla administratora danych”, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym to dokumenty wewnętrzne, które powinny być udostępniane jedynie ograniczonemu kręgowi osób (https://giodo.goy.pl/pl/222/9906). Powyższą argumentację wzmacnia okoliczność, że dostęp do ww. rejestrów został określony w art. 30 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zgodnie z którym administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. W konsekwencji oznacza to, że rejestry te nie podlegają udostępnieniu na podstawie przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, gdyż zgodnie z art. 1 ust. 2 ww. ustawy, jej przepisy nie naruszają przepisów innych ustaw określających odmienne zasady i tryb dostępu do informacji będących informacjami publicznymi. Ponadto, skarżący uzyskał informację o publikatorze dokumentu na podstawie, którego rozpoczęto prace nad ww. rejestrami gdyż dokumentem tym było rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 4.05.2016, str. 1). Zdaniem organu czynności przetwarzania oraz kategorie czynności przetwarzania również nie stanowią informacji publicznej w rozumieniu przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, bowiem zawarte są w ww. rejestrach”.

WSA w Łodzi w wyroku z 12.2.2019 r. ( II SAB/Łd 181/18) orzekł m.in.:

,,przyznać należy rację organowi, że żądane przez skarżącego rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania nie stanowią informacji publicznej, (…)”.  Wyjaśnienia wymaga, że obowiązek prowadzenia rejestru czynności wynika z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych (RODO), który stanowi, że każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają”. W rejestrze tym, zgodnie z dalszą treścią ww. artykułu, powinny znaleźć się następujące informacje:

• imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Natomiast podmioty przetwarzające, oraz – gdy ma to zastosowanie – ich przedstawiciele, zgodnie z art. 30 ust. 2 RODO, zobowiązani są do prowadzenia rejestru kategorii czynności przetwarzania wykonywanych w imieniu zlecających im je administratorów danych. W rejestrze kategorii czynności przetwarzania powinny być zawarte: a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.1.

Celem obowiązku określonego w art. 30 RODO jest zatem zapewnienie – zarówno przez administratora oraz podmioty przetwarzające, jak i przez organ nadzorczy – zgodności z RODO (art. 5 ust. 2 RODO), czyli z wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych. Jak podkreśla Prezes UODO prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności m.in. z wymaganiami prawnymi (por. Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określnego w art. 30 ust. 1 i 2 RODO, dostępne na www.uodo.gov.pl). Rejestry mają ponadto ułatwić organowi nadzorczemu kontrolę wszystkich procesów przetwarzania danych w organizacji.

W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Rejestr z kolei to opis poszczególnych zespołów operacji związanych zbiorczo z realizacją określonego celu przetwarzania. Rejestr kategorii czynności stanowi natomiast krótszą formę rejestru czynności przetwarzania i w odróżnieniu od rejestru czynności nie musi zawierać celów przetwarzania, opisu kategorii osób, których dane dotyczą, kategorii danych osobowych oraz kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.

Zdaniem Sądu powyższe przepisy i rozważania potwierdzają prawidłowość stanowiska organu, według którego prowadzone rejestry czynności przetwarzania oraz rejestry kategorii czynności przetwarzania (w tym te za które odpowiada Wydział Edukacji) nie stanowią informacji publicznej, lecz stanowią dokument o charakterze wewnętrznym – organizacyjnym i porządkowym. Warto bowiem zaznaczyć, że założeniem ustawy o dostępie do informacji publicznej było zapewnienie w drodze dostępu do informacji publicznej społecznej kontroli nad działalnością m.in. organów administracji publicznej (por. wyrok NSA z dnia 4.8.2015r. I OSK 1645/14). Cel ten winien być każdorazowo uwzględniany przy ocenie czy dana informacja ma charakter informacji publicznej. W przedmiotowej sprawie celem prowadzenia rejestrów jest, co zostało już wspomniane, usystematyzowanie wykonywanych operacji przetwarzania danych osobowych pod względem zgodności z wymaganiami prawnymi. Powyższa okoliczność przesądza o wewnętrznym i organizacyjnym charakterze wspomnianych rejestrów.

Ponadto, rozróżnić należy informację publiczną od nośnika tej informacji (por. wyrok NSA z dnia 2 grudnia 2015 r., sygn. akt I OSK 2337/15). Żądane rejestry nie zawierają informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych. Są więc nośnikiem informacji o charakterze wewnętrznym, porządkowym, ewidencyjnym, który ma służyć zapewnieniu m.in. porządku i bezpieczeństwa. Takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej. Tym samym Sąd podziela stanowisko organu, zgodnie z którym żądane przez skarżącego rejestry nie podlegają udostępnieniu w trybie ustawy o dostępie do informacji publicznej”.