Dostęp do informacji publicznej - KRI
- RODOsfera
- 3 dni temu
- 4 minut(y) czytania
Co jest informacją publiczną? Jakie są zasady uzyskania dostępu do informacji publicznej? Jaka jest procedura udzielenia odpowiedzi na zapytanie o dostęp do informacji publicznej? Audyt KRI a informacja publiczna.
W związku z częstymi pytaniami jednostek publicznych o realizację audytów bezpieczeństwa KRI czy audytów wewnętrznych bezpieczeństwa, w kontekście zapytań o dostęp do informacji publicznej, przedstawiamy ważne informacje dotyczące sposobu interpretowania takich wniosków i właściwego udzielania odpowiedzi. Mamy nadzieję, że poniższy tekst okaże się pomocny.
ZASADY UZYSKANIA DOSTĘPU DO INFORMACJI PUBLICZNEJ
Definicję informacji publicznej oraz tryb występowania o nią oraz udzielania odpowiedzi na otrzymany wniosek określa ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (dalej: „Ustawa”). Informacją publiczną będzie każda informacja o sprawach publicznych. Tak szeroko zdefiniowany termin ma w założeniu prowadzić do jak największej jawności różnych aspektów życia publicznego.
Przepisy ustawy o dostępie do informacji publicznej skonstruowane są w taki sposób, że nie ma obowiązku odpowiedniego uwierzytelniania się po stronie osoby wnioskującej, stąd równie dobrze może dojść do sytuacji, w której otrzymamy wniosek podpisany "XYZ". Do ujawnienia danych identyfikujących wnioskodawcę mogłoby dojść dopiero w sytuacji, w której chciałby on zaskarżyć daną organizację za nieudzielenie informacji. Osoba wnioskująca nie ma obowiązku wykazywania interesu w tym, że wnioskowaną informację powinna otrzymać. Dopiero w przypadku informacji publicznej przetworzonej, pojawia się konieczność wskazania interesu publicznego, dla którego o coś wnioskujemy. Informacją publiczną przetworzoną będą takie informacje, którymi dany podmiot na chwilę składania wniosku nie dysponuje, a które musiałby dopiero wytworzyć, np. opracowanie jakiegoś zestawienia informacji. Termin odpowiedzi na wniosek został określony w art. 13 Ustawy:
Udostępnianie informacji publicznej na wniosek następuje bez zbędnej zwłoki, nie później jednak niż w terminie 14 dni od dnia złożenia wniosku, z zastrzeżeniem ust. 2 i art. 15 ust. 2.
Jeżeli informacja publiczna nie może być udostępniona w terminie określonym w ust. 1, podmiot obowiązany do jej udostępnienia powiadamia w tym terminie o powodach opóźnienia oraz o terminie, w jakim udostępni informację, nie dłuższym jednak niż 2 miesiące od dnia złożenia wniosku.
SZEROKI ZAKRES DEFINICJI
Kwestie związane z udostępnianiem informacji publicznej sprawiają niestety pewne trudności interpretacyjne z uwagi na ogólnikowe przepisy Ustawy, a także wyroki sądów administracyjnych, w które w podobnych sprawach potrafiły przyjmować całkiem różne stanowiska.
AUDYT BEZPIECZEŃSTWA INFORMACJI A INFORMACJA PUBLICZNA
Co jakiś czas do jednostek oświatowych przesyłane są wnioski o dostęp do informacji publicznej, których przedmiotem są przeprowadzane audyty i kontrole. W szczególności należy zwrócić uwagę na te pytania, które dotyczą przeprowadzanych audytów wewnętrznych bezpieczeństwa informacji. Efektem przeprowadzonego procesu są wnioski dotyczące podatności oraz zabezpieczeń związanych z infrastrukturą teleinformatyczną.
W art. 5 ust. 2 ustawy o dostępie do informacji publicznej wskazano, że „Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa”.
Z jednej strony przepis wskazuje nam na możliwość ograniczenia prawa do informacji publicznej ze względu na prywatność osoby fizycznej, z drugiej zaś precyzuje, że nie będzie miało to zastosowania wobec osób pełniących funkcje publiczne lub mające związek z pełnieniem takich funkcji.
Przedmiotem zainteresowania audytora przeprowadzającego audyt wewnętrzny bezpieczeństwa informacji będą przede wszystkim podatności występujące w stosowanych środkach technicznych i organizacyjnych dla zabezpieczenia informacji przed utratą poufności, dostępności i integralności. Sprawozdanie poaudytowe będzie zatem zawierało wskazanie słabych stron w stosowanych środkach, tym samym ujawniając możliwości zaszkodzenia jednostce poprzez uzyskanie wglądu w dane, możliwości ich uszkodzenia lub usunięcia. Decyzję o tym czy udostępnienie takich informacji w ramach wniosku o dostęp do informacji publicznej będzie poprawne, można podjąć posiłkując się zapisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560, z późn. zm.) W art. 37. ust. 1 wskazuje się, że:
„Do udostępniania informacji o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów nie stosuje się ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902).”
W świetle powyższego zdania udostępnieniu nie będzie podlegał wynik audytu w postaci sprawozdania, gdyż ujawnienie informacji w nim zawartych może prowadzić do wystąpienia incydentów, na skutek wykorzystania ujawnionych podatności.
Nie oznacza to jednak, że wszystkie dokumenty związane z audytem będą wyłączone spod definicji informacji publicznej. Ocenie może podlegać rzetelność i prawidłowość wykonania audytu. Kryterium oceny będą stanowiły dokumenty takie jak plan audytu (z określeniem obszarów, które będą weryfikowane) czy wszelkie kwestionariusze użyte do przeprowadzenia audytu. Informację publiczną będzie stanowiła także informacja o samym fakcie wykonania lub nie, audytu wewnętrznego bezpieczeństwa informacji.
PODSUMOWANIE
Ustawa o dostępie do informacji publicznej miała zwiększyć jawność funkcjonowania jednostek finansowanych z budżetu publicznego, w tym sposobu realizowania przez nie zadań publicznych oraz obowiązków prawnych na nich spoczywających.
Treść wniosków musi być analizowana i rozpatrywana indywidualnie. W każdym przypadku należy zważyć czy treść udzielanej na wniosek odpowiedzi nie będzie naruszała praw i wolności tych osób tym bardziej, że żaden wniosek nie może pozostać bez odpowiedzi. Musimy także zadać sobie pytanie czy treść udzielonej odpowiedzi nie narazi jednostki na powstanie zagrożenia utraty poufności, dostępności i integralności danych, które są przetwarzane.
W razie jakichkolwiek wątpliwości należy skonsultować odpowiedź z Inspektorem Ochrony Danych, który na podstawie swojej wiedzy będzie w stanie zasugerować właściwe brzmienie odpowiedzi w zakresie udostępniania przy tej okazji danych osobowych lub informacji o stosowanych zabezpieczeniach w postaci odpowiednich środków technicznych i organizacyjnych.
Dodatkowe informacje:
