Jakie są numery rejestracyjne wozów strażackich, jaka jest pojemność silnika, jakie zakupy zrobiła gmina na potrzeby centralnej ewidencji obiektów zbiorowej ochrony, w jaki sposób tworzy maile pracowników - takie pytania trafiają ostatnio do samorządów. Co więcej, pytania o identycznej treści trafiały też do innych gmin na terenie powiatu czy województwa. Część samorządów dmucha na zimne i tego typu wnioski zgłasza do Agencji Bezpieczeństwa Wewnętrznego.
O ile pytania o liczbę wozów strażackich jestem w stanie zrozumieć na przykład zbieraniem wkładu do jakieś pracy naukowej, o tyle informacje o numerach rejestracyjnych pojazdów, pojemności silników, typach zamontowanych agregatów prądotwórczych czy dokładne lokalizacje garaży trudno uznać za potrzebne do takiej pracy. Dane te nie interesują przeciętnego mieszkańca, za to są bezcenne przy planowaniu sabotażu infrastruktury krytycznej, ataków dronowych czy precyzyjnych uderzeń – uważa dr Bartosz Mendyk, specjalista w ochronie danych osobowych i dostępie do informacji publicznej, inspektor ochrony danych w wielu instytucjach samorządowych.
W lutym wiele gmin otrzymało też wnioski o udostępnienie ankiet i raportów z programu „Cyberbezpieczny Samorząd”. Formalnie to informacja publiczna – zatwierdzone dokumenty urzędowe, majątek publiczny (oprogramowanie i sprzęt). W praktyce – jak zwraca uwagę dr Mendyk - te ankiety zawierają szczegółowy obraz najsłabszych punktów cyberochrony danej gminy lub powiatu: przestarzałe systemy operacyjne, brak aktualizacji, brak segmentacji sieci, brak certyfikatów bezpieczeństwa itp.
Gdy obcy wywiad zbierze takie dane z kilkuset samorządów – dostaje na tacy gotową mapę najsłabszych ogniw polskiej administracji publicznej. To pokazuje, jak cienka jest dziś granica między zwykłą kontrolą obywatelską a rozpoznaniem wywiadowczym i jak bardzo obecna ustawa nie nadąża za tą rzeczywistością – mówi dr Mendyk.
Neutralne dane odsłaniają kluczowe słabości
Dr hab. Marlena Sakowska-Baryła, prof. UŁ, radczyni prawna i partnerka w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., zwraca uwagę, że istnieje wiele informacji, które z uwagi na interes publiczny mogłyby potencjalnie zostać uznane za informacje o ograniczonym dostępie, mimo że formalnie nie posiadają statusu informacji niejawnych i nie są objęte żadną klauzulą. Często są to dane, które na pierwszy rzut oka mają charakter neutralny. Natomiast w momencie, kiedy się je udostępnia, stają się informacjami, które mają istotne znaczenie właśnie z perspektywy bezpieczeństwa publicznego. To są informacje infrastrukturalne dotyczące np. ochrony budynków, infrastrukturalnego zabezpieczenia ujęcia wody, podłączenia do prądu, elementów infrastruktury informatycznej.
Najczęściej samorządy radzą sobie z takimi wnioskami o udostępnienie informacji publicznej, wskazując, że są to informacje techniczne lub dokumenty wewnętrzne, a więc nie stanowią informacji publicznej i nie podlegają udostępnieniu. Tymczasem odmowa udzielenia informacji nie powinna wynikać ze sprytnej wykładni przepisów, lecz wprost z regulacji, które umożliwiają wprowadzenie ograniczeń z uwagi na określone kategorie interesu publicznego - mówi prof. Marlena Sakowska-Baryła.
Bernadetta Skóbel, radca prawny, kierownik Działu Monitoringu Prawnego i Ekspertyz Związku Powiatów Polskich, podkreśla, że samorządowcy obserwują szczególnie wzrost wniosków dotyczących realizacji obowiązującej od 1 stycznia 2025 r. ustawy o ochronie ludności i obronie cywilnej.
- Ustawa tylko w kilku miejscach mówi o tym, których danych nie ujawniamy. Chodzi głównie o dane z Ewidencji Obiektów Zbiorowej Ochrony, które nie stanowią informacji publicznej. Ale ktoś, kto zna te ograniczenie, nie zapyta wprost o dane z ewidencji, tylko zapyta inaczej, na przykład, jakie zakupy zrobił dany samorząd w obszarze ewidencji – mówi Bernadetta Skóbel. Jej zdaniem uszczelnienie ustawy o dostępie do informacji publicznej jest niezbędne
Wystarczy anonimowy wniosek
Pozyskiwaniu informacji publicznej pod płaszczykiem interesu publicznego sprzyja też tryb wnioskowania o informacje. Ustawa z 6 września 2001 r. o dostępie do informacji publicznej w art. 2 ust. 2 stanowi jasno: od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego ani faktycznego. Sądy przez dekady interpretowały to tak, że wniosek może być w pełni anonimowy – nawet z jednorazowego adresu e-mail.
Ta linia orzecznicza ukształtowała się jednak w epoce sprzed powszechnej informatyzacji, przed erą masowych wycieków danych i przed eskalacją zagrożeń hybrydowych. O ile 10–15 lat temu anonimowość wniosków nie rodziła realnych zagrożeń systemowych, dziś, w warunkach wojny hybrydowej, masowej cyberprzestępczości i ataków sponsorowanych przez obce państwa, sytuacja jest diametralnie inna – wskazuje dr Bartosz Mendyk.
Dostrzegł to nawet Naczelny Sąd Administracyjny w wyroku z 18 grudnia 2024 r. (III OSK 1602/24), odwołując się m.in. do wcześniejszego orzeczenia WSA w Gdańsku (III SAB/Gd 220/23), wyraźnie stwierdził: dzisiejsza rzeczywistość wymaga zmiany podejścia. Organy nie tylko mogą, ale powinny dążyć do identyfikacji wnioskodawcy, gdy istnieje uzasadnione ryzyko, że wniosek służy celom wywiadowczym, sabotażowym lub przestępczym. Jak zwraca uwagę dr Mendyk problem w tym, że sama ustawa nadal nie daje na to wyraźnej podstawy prawnej, a orzecznictwo próbuje tę lukę „załatać” wykładnią celowościową. Robi to z rosnącym napięciem wobec literalnego brzmienia przepisów.
Szeroka furtką - otwarte dane
To, czego nie można uzyskać w trybie dostępu do informacji publicznej, można próbować pozyskać na podstawie ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Ustawa ta nie posługuje się kategorią „informacji o sprawie publicznej”. Zgodnie z ustawą informacja, którą podmiot należący do sektora publicznego posiada i która jest utrwalona, podlega udostępnieniu, oczywiście z pewnymi ograniczeniami dotyczącymi m.in. infrastruktury krytycznej.
Wśród danych, których udostępnienie nie zostało zastrzeżone, znajdują się także informacje z pozoru neutralne, takie jak plany infrastruktury informatycznej czy dane dotyczące oprogramowania wykorzystywanego przez daną jednostkę. O ile w trybie wniosku o udostępnienie informacji publicznej podmioty często odmawiają ich przekazania, powołując się na to, że jest to informacja techniczna lub dokument wewnętrzny, o tyle w przypadku ponownego wykorzystywania informacji przestrzeń do zastosowania takiego argumentu jest znacznie mniejsza – mówi prof. Marlena Sakowska-Baryła.
Wyjaśnia, że założenie ustawy o otwartych danych polega na tym, że udostępnia się wszystko, co jest informacją utrwaloną i znajdującą się w posiadaniu podmiotu, chyba że zastosowanie znajdują ograniczenia określone w art. 6 ustawy lub wyłączenia przedmiotowe i podmiotowe określone w art. 4.
- Problem w tym, że przepisy te trudno zastosować do informacji dotyczących np. procedur związanych z ochroną danych osobowych, takich jak polityka korzystania z poczty elektronicznej, instrukcja rozpoczynania i kończenia pracy, czy zasady tworzenia adresów e-mail. Choć są to informacje pozornie o znaczeniu jednostkowym, to jeśli zauważalny jest nagły wzrost liczby wniosków o ich pozyskanie od wielu podmiotów w obrębie danego miasta lub powiatu, pojawia się uzasadniona wątpliwość co do celu gromadzenia takich danych. Powinniśmy mieć możliwość zastosowania klauzuli interesu publicznego, ponieważ najprawdopodobniej nie uda się kazuistycznie wymienić wszystkich przypadków, w których ograniczenie dostępu jest zasadne — podkreśla prof. Marlena Sakowska-Baryła. I postuluje również wprowadzenie zmian i w tej ustawie.
Czas na pilną nowelizację
Eksperci i samorządowcy coraz głośniej domagają się kompleksowej nowelizacji ustawy (od lutego 2021 r. w Trybunale Konstytucyjnym czeka na rozpoznanie skarga o zbadanie zgodności z Konstytucją RP niektórych przepisów tej ustawy). Kilka miesięcy temu o nowelizację ustawy o dostępie do informacji publicznej zaapelowało Ogólnopolskie Porozumienie Organizacji Samorządowych. Zaproponowało, aby w art. 5 ustawy dodać kolejną przesłankę wyłączenia, jeśli „wniosek dotyczy informacji, których ujawnienie mogłoby zagrażać skuteczności działań związanych z ochroną ludności i obroną cywilną oraz zarządzaniem kryzysowym niezależenie od ochrony informacji przewidzianej w innych przepisach". Zgodnie z proponowanymi przez OPOS rozwiązaniami, wnioskodawca powinien również wykazać, że uzyskanie informacji publicznej jest szczególnie istotne dla interesu publicznego.
Także w pakiecie 2.0, który kilka tygodni temu trafił do Sejmu, rząd na wniosek samorządów zamieścił zapis, który ogranicza prawo do informacji publicznej "w zakresie, w jakim skorzystanie z tego prawa mogłoby zagrażać realizacji zadań z zakresu ochrony ludności, obrony cywilnej, zarządzania kryzysowego oraz obrony Ojczyzny, niezależnie od ochrony tej informacji przewidzianej w przepisach odrębnych". Wpisano też zastrzeżenie, że wniosek składany w formie pisemnej musi spełniać warunki określone w art. 63 k.p.a. oraz dodatkowo zawierać oznaczenie sposobu i formy udostępnienia informacji publicznej.
Dr Bartosz Mendyk proponuje cztery kluczowe kierunki zmian:
- Precyzyjna, logicznie spójna definicja informacji publicznej (art. 1 ust. 1) – żeby raz na zawsze rozstrzygnąć, co jest majątkiem publicznym podlegającym udostępnieniu, a co pozostaje dokumentacją wewnętrzną lub operacyjną.
- Nowa, wąska przesłanka odmowy w art. 5 – np. gdy istnieje uzasadnione podejrzenie, że udostępnienie informacji może zagrozić bezpieczeństwu państwa, bezpieczeństwu publicznemu lub cyberbezpieczeństwu. Z obowiązkową kontrolą sądową, żeby nie stała się narzędziem cenzury.
- Wymóg wiarygodnej identyfikacji wnioskodawcy – np. złożenie wniosku za pomocą podpisu kwalifikowanego, Profilu Zaufanego lub ePUAP. Przy obecnym poziomie informatyzacji społeczeństwa nie jest to żadna bariera: praktycznie każdy dorosły Polak ma konto w banku, a więc ma już ePUAP albo aplikację mObywatel z Profilem Zaufanym. W praktyce oznaczałoby to koniec z masowymi, całkowicie anonimowymi wnioskami wysyłanymi z tymczasowych skrzynek pocztowych. Transparentność dla obywateli i mediów zostałaby zachowana, a jednocześnie znacznie utrudnilibyśmy masowe „wysysanie” danych wrażliwych przez podmioty zagraniczne.
- Wyraźne uregulowanie statusu dokumentów wewnętrznych – żeby nie było wątpliwości interpretacyjnych, które materiały muszą być udostępniane, a które mogą pozostać wewnętrzne.
Ekspert podkreśla, że transparentność władzy jest podstawą demokracji, bo umożliwia kontrolę nad wydatkami publicznymi, decyzjami urzędników i ogranicza korupcję. Bez jawności obywatele i media tracą rolę strażników, a państwo dryfuje w stronę arbitralności. Jednak w warunkach ciągłej wojny hybrydowej i zagrożeń w cyberprzestrzeni dotychczasowe modele przejrzystości nie wystarczają.
Trzeba je na nowo wyważyć, tak by zachować dostęp do informacji dla obywateli i dziennikarzy, a jednocześnie chronić bezpieczeństwo państwa. Dzisiejsze wyzwania nie wymagają wyboru między jawnością a bezpieczeństwem, lecz umiejętnego pogodzenia obu wartości w znacznie trudniejszych realiach – wskazuje dr Mendyk.
