Witam, też otrzymałam taki wniosek:
Wniosek o udostępnienie informacji publicznej
Wnioskodawca: Adam Kowal
adres e-mail: kri.adam3@int.pl
Adresat wniosku: Dyrektor placówki
Dotyczy: Udostępnienia informacji oraz formularza audytu bezpieczeństwa informacji (audytu KRI) za rok 2023 i 2024
Na podstawie art. 2 ust. 1 w zw. z art. 10 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2022 r. poz. 902), wnoszę o:
1. udzielenie odpowiedzi na przesłane pytania:
a. Czy w placówce w roku 2023 oraz 2024 prowadzony był audyt bezpieczeństwa informacji? (zgodnie z art.19.ust.2. pkt 14 Rozporządzenia o KRI)
b. Kto odpowiedzialny był przeprowadzenie audytu bezpieczeństwa w roku 2023 oraz 2024?
c. Kiedy prowadzono ostatnią analizę ryzyka (zgodnie z art.19.ust.2. pkt 3 Rozporządzenia o KRI)?
d. Czy pracownicy zaangażowani w proces przetwarzania informacji zostali przeszkoleni zgodnie z art.19.ust.2. pkt 6 Rozporządzenia o KRI?
Rozporządzanie o KRI - Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773)
2. udostępnienie formularza audytu bezpieczeństwa informacji/KRI (Krajowe Ramy Interoperacyjności) przeprowadzonego za rok 2023 i 2024, który zastosowany był w Państwa jednostce podczas audytu bezpieczeństwa informacji.
Proszę o przesłanie odpowiedzi oraz formularzy w wersji elektronicznej (np. PDF lub DOC) na adres e-mail: kri.adam3@int.pl
Forma udostępnienia: E-mail na wskazany adres (zgodnie z art. 14 ust. 1 ww. ustawy).
Mój inspektor napisał, aby w żadnym wypadku nie udostępniać audytu, ponieważ jest to tajemnica jednostki i istnieje zwiększone ryzyko ataku terrorystycznego.
Przytoczył mi opinię prawną, którą wklejam poniżej:
"Witam serdecznie,
Dotyczy pytania nr 2, gdzie nie należy udostępniać audytu IT. na prośbę o opinię w zakresie udostępnienia informacji publicznej przesyłam interpretację przedstawioną przez Dział Prawny.
Nie należy wysyłać całości informacji, a jedynie sentencję.
Na pewno nie możemy udostępnić takiej informacji gdyż jest to tajemnica Jednostki.
Dzień dobry,
przesłana wiadomość stanowi, jak zauważono wniosek o dostęp do informacji publicznej. Zagadnienie związane z dostępem do informacji publicznej i oceną tego co stanowi, a co nie stanowi informacji publicznej, winno stać się przedmiotem rozpoznania w sposób indywidualny przez podmiot zobowiązany do udzielenia odpowiedzi, względnie przy pomocy ogólnej obsługi prawnej Państwa jednostki. Odpowiedź wspierającej Inspektora Ochrony Danych może być jedynie odpowiedzią pomocniczą, albowiem kwestia dot. ochrony danych osobowych pojawia się w zagadnieniu informacji publicznej pobocznie i jest ewentualnie wynikiem pierwotnego rozstrzygnięcie czy dany przedmiot zapytania stanowi informację publiczną. Wedle wyroku WSA w Gdańsku z 14 sierpnia 2018 r., II SAB/Gd 62/18: przepisy dot. ochrony danych osobowych nie stoją na przeszkodzie ustawie o ostępie do informacji publicznej. W wyroku tym przedstawiono bowiem następujący wniosek: "Niewątpliwe jest bowiem, że przepisy tego rozporządzenia [RODO] nie wyłączają stosowania przepisów u.d.i.p. te zaś realizują obowiązek ochrony danych osobowych poprzez ograniczenie wskazane w art. 5 ust. 2, które jednakże w niniejszej sprawie z przyczyn podanych wyżej nie ma zastosowania. Brak jest zatem podstaw do twierdzenia, że udostępnienie żądanej informacji godzić będzie w ochronę danych osobowych, czy to na gruncie u.d.i.p., czy RODO" (podobnie również: wyrok WSA w Poznaniu z 26 września 2019 r., IV SA/Po 578/19, CBOSA).
Wskazać jednak należy, że rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), zgodnie z którym systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk (§ 15 ust. 1). Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne wyposaża się w składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami teleinformatycznymi za pomocą protokołów komunikacyjnych i szyfrujących określonych w obowiązujących przepisach, normach, standardach lub rekomendacjach ustanowionych przez krajową jednostkę normalizacyjną lub jednostkę normalizacyjną Unii Europejskiej (§ 16 ust. 1). Podmiot realizujący zadania publiczne jest zobowiązany zapewnić poufność, dostępność i integralność informacji przetwarzanych w systemach teleinformatycznych z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. W tym celu m.in. opracowuje i doskonali system zarządzania bezpieczeństwem informacji (§ 20 ust. 1). Podmiot publiczny jest również zobowiązany m.in. do zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami oraz do zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach, teleinformatycznych, polegającego w szczególności na zapewnieniu bezpieczeństwa plików systemowych, redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, a także na ochronie systemów teleinformatycznych przed ich utratą i nieuprawnioną modyfikacją (§ 20 ust. 2 pkt 7 i 12).
Niezależnie od aktów prawnych powszechnie obowiązujących, organ jest zobowiązany do stosowania szeregu zasad bezpieczeństwa wprowadzonych przez uregulowania wewnętrzne. Do najważniejszych należą: Polityka Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości, Polityka Bezpieczeństwa Systemów Teleinformatycznych Ministerstwa Sprawiedliwości, Regulamin użytkownika Systemów Teleinformatycznych Ministerstwa Sprawiedliwości, Polityka Bezpieczeństwa Danych Osobowych Ministerstwa Sprawiedliwości. Przewidują one szczegółowe zasady postępowania w zakresie fizycznej ochrony infrastruktury informatycznej (wydzielenie bezpiecznych pomieszczeń, w których zlokalizowana jest infrastruktura systemów teleinformatycznych, całodobowy monitoring pomieszczeń, fizyczna kontrola dostępu pracowników do ww. pomieszczeń etc.), kontrolę dostępu do systemów (w tym zabezpieczenia kryptograficzne, zarządzanie uprawnieniami użytkowników, dostęp administracyjny, zasady dostępu zdalnego etc.), zarządzanie incydentami bezpieczeństwa, zarządzanie ciągłością działania itd.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku wydanym w sprawie sygn. akt: II SA/Wa 2336/23 zwrócił uwagę także na brzmienie art. 4 ust. 1 ustawy o ochronie informacji niejawnych, zgodnie z którym informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.
Sąd w w/w orzeczeniu podkreślił, że wymóg ten odnosi się do informacji niejawnych w ogóle, a nie tylko tych, którym nadano klauzulę tajności. Wystarczy zatem element materialny, tzn. istnienie takiej cechy, przez którą stanowi ona informację, której nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo, byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania.
W pełni podzielając pogląd Sądu należy zauważyć, że w świetle treści zawartych w audytach KRI, a także zważywszy na skomplikowany system zabezpieczeń systemów powiązanych z innymi systemami teleinformatycznymi wymiaru sprawiedliwości i państwa, nie może budzić wątpliwości, iż posiadają one wszystkie cechy, z powodu których, zgodnie z ustawą, ich nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne. To pozwala uznać kod za informację podlegającą reżimowi przewidzianemu dla ochrony informacji niejawnych (por.m.in. wyroki NSA: z 19 października 2017 r. sygn. akt I OSK 1822/16, z 28 kwietnia 2016 r. sygn. akt I OSK 2620/14).
W sytuacji więc, gdy ujawnienie żądanej informacji godziłoby w interes wymiaru sprawiedliwości i bezpieczeństwo publiczne, uprawnienie jednostki do dostępu do informacji publicznej musi podlegać ograniczeniu.
Prawna podstawa ograniczenia prawa do informacji publicznej wynika zarówno z Konstytucji RP, jak i ustawy o dostępie do informacji publicznej.
W myśl art. 5 ust. 1 i 2 ustawy, prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych. Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. W obliczu zagrożeń jakie niosą współcześnie dla państwa i obywateli organizacje terrorystyczne, organizacje przestępcze, hakerzy etc., kwalifikacja wniosku Stowarzyszenia przez pryzmat ww. norm wymaga szczególnego podejścia, uwzględniającego nie tylko wiedzę powszechną, ale również specjalistyczną.
Jak w w/w sprawie wskazał Wojewódzki Sąd Administracyjny w Warszawie, art. 5 ustawy nie zawiera wyczerpującego katalogu przyczyn, które w konkretnej sprawie mogą uzasadniać konieczność ograniczenia dostępu do informacji wytworzonych, odnoszących się, czy będących w posiadaniu podmiotów publicznych. Istnieją bowiem również inne, niż wymienione w tym przepisie ustawowym, wartości, których ochrona uzasadnia - w świetle art. 61 ust. 3 Konstytucji RP - zastosowanie tego typu ograniczeń. Przypomnieć należy, że norma ta dotyczy informacji technicznych, technologicznych, organizacyjnych lub innych informacji posiadających wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności (art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji Dz. U. z 2022 r. poz. 1233).
W świetle powyższego szczególnie aktualnie w czasie podwyższonego zagrożenia atakami o charakterze terrorystycznym w cyberprzestrzeni, zalecane jest wydanie decyzji o odmowie udostępnienia informacji publicznej w zakresie wydania treści audytu KRI jednostki."
Zatem na pytanie 2 zamierzam odpowiedzieć odmownie (przekleję tekst, który jest wyżej na czerwono).
Pozdrawiam
| 
