Sporadycznie może się pojawić w jednostce realizującej zadania publiczne wniosek o dostęp do wewnętrznych dokumentów w trybie dostępu do informacji publicznej.
Jeżeli wniosek dotyczy takich dokumentów, jak:
- Rejestr czynności przetwarzania;
- Polityka bezpieczeństwa danych osobowych;
- Polityka bezpieczeństwa teleinformatycznego (ew. instrukcja zarządzania systemem informatycznym);
- Wyniki analizy ryzyka oraz plany postępowania z ryzykiem.
może zachodzić przesłanka o braku możliwości udostępnienia takich dokumentów.
Wynika to z faktu, iż rejestr czynności przetwarzania oraz polityki bezpieczeństwa nie podlegają udostępnianiu w trybie dostępu do informacji publicznej ponieważ dokumenty tego typu nie stanowią informacji publicznej. W rejestrze czynności przetwarzania oraz w dokumentacji bezpieczeństwa znajdują się (lub mogą się znajdować) informacje o wdrożonych środkach technicznych i organizacyjnych dotyczących ochrony danych osobowych oraz innych informacji w jednostce, której wniosek dotyczy.
Stanowisko to potwierdza wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z 12 lutego 2019 r. (II SAB/Łd 181/18).
W ortzeczeniu wykazano, że rejestry nie odnoszą się do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej podobnie, jak polityki bezpieczeństwa.
Przykładowa odpowiedź
„Informujemy, iż rejestr czynności przetwarzania oraz polityki bezpieczeństwa nie podlegają udostępnianiu w trybie dostępu do informacji publicznej ponieważ dokumenty tego typu nie stanowią informacji publicznej. Wynika to z faktu, iż w rejestrze oraz dokumentacji bezpieczeństwa znajdują się informacje o wdrożonych środkach technicznych i organizacyjnych dotyczących ochrony danych osobowych oraz innych informacji w naszej jednostce. Nasze stanowisko potwierdza wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z 12 lutego 2019 r. (II SAB/Łd 181/18). Rejestry nie odnoszą się do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej podobnie, jak polityki bezpieczeństwa.”