Rejestr czynności przetwarzania danych nie jest informacją publiczną. To dokument wewnętrzny, który nie musi być ujawniany – uznał Wojewódzki Sąd Administracyjny w Łodzi w precedensowym wyroku.
RODO zlikwidowało obowiązek zgłaszania zbiorów danych osobowych do rejestru. Nakazało natomiast prowadzenie przez administratora tzw. rejestru czynności przetwarzania. Znajdują się w nim takie informacje jak: dane administratora, cele przetwarzania czy opisy kategorii osób, których dane dotyczą, ale także – jeśli jest to możliwe – podejmowane środki bezpieczeństwa. Z kolei podmioty przetwarzające prowadzą uproszczony rejestr kategorii czynności przetwarzania.
Do prezydenta Łodzi wpłynął wniosek o udostępnienie rejestrów będących w gestii wydziału edukacji miejscowego Urzędu Miejskiego. Zdaniem wnioskodawcy stanowią one informację publiczną. Prezydent odmówił, wskazując na wewnętrzny charakter tych dokumentów. Zwrócił uwagę m.in. na zagrożenia, jakie mogłyby się wiązać z ujawnieniem rejestrów. Wskazano w nich bowiem zastosowane środki bezpieczeństwa, które z założenia powinny być objęte tajemnicą.
Ważne z szerokiego zakresu przedmiotowego informacji publicznej wyłączeniu podlegają treści o charakterze roboczym
Sąd podzielił tę opinię. Przyznał, że w doktrynie i orzecznictwie przyjęto szeroką interpretację pojęcia informacji publicznej i spraw publicznych, odwołując się wprost do art. 61 konstytucji. Skoro zaś prawo do informacji publicznej ma charakter konstytucyjny to wszelkie wyjątki powinny być rozumiane wąsko.
”Z tego szerokiego zakresu przedmiotowego informacji publicznej wyłączeniu podlegają jednak treści zawarte w dokumentach wewnętrznych, rozumiane jako informacje o charakterze roboczym (zapiski, notatki). (…) Dokumenty takie służą wymianie informacji, zgromadzeniu niezbędnych materiałów, uzgadnianiu poglądów i stanowisk. Nie są jednak wyrazem stanowiska organu, wobec czego nie stanowią informacji publicznej„ – zauważył sąd w uzasadnieniu wyroku.
Sąd odwołał się do wskazówek prezesa Urzędu Ochrony Danych Osobowych. Zgodnie z nimi rejestry pozwalają administratorom usystematyzować czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności z wymogami prawnymi. Mają też ułatwić organowi nadzorczemu kontrolę wszystkich procesów przetwarzania danych w organizacji.
W uzasadnieniu wyroku przypomniano również wcześniejsze orzecznictwo Naczelnego Sądu Administracyjnego, zgodnie z którym celem przepisów o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r. poz. 1330) jest zapewnienie społecznej kontroli nad działalnością organów administracji publicznej.
”Cel ten winien być każdorazowo uwzględniany przy ocenie, czy dana informacja ma charakter informacji publicznej. W przedmiotowej sprawie celem prowadzenia rejestrów jest, co zostało już wspomniane, usystematyzowanie wykonywanych operacji przetwarzania danych osobowych pod względem zgodności z wymaganiami prawnymi. Powyższa okoliczność przesądza o wewnętrznym i organizacyjnym charakterze wspomnianych rejestrów„ – podsumował swe wywody sąd.

orzecznictwo

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 12 lutego 2019 r., sygn. akt II SAB/Łd 181/18. www.serwisy.gazetaprawna.pl/orzeczenia