Prowadzone rejestry czynności przetwarzania danych osobowych oraz rejestry kategorii czynności przetwarzania nie stanowią informacji publicznej, lecz stanowią dokument o charakterze wewnętrznym – organizacyjnym i porządkowym. Nie podlegają więc udostępnieniu w trybie dostępu do informacji publicznej. Tak stwierdził WSA w Łodzi w wyroku z 12.2.2019 r. (II SAB/Łd 181/18, Legalis).

Zgodnie z art. 1 ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r. poz. 1330 ze zm.; dalej: DostInfPublU), każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu na zasadach i w trybie określonych w DostInfPublU.

Natomiast z art. 61 ust. 1 i 2 Konstytucji RP wynika, że obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu.

Informacją publiczną jest więc każda wiadomość wytworzona przez szeroko rozumiane władze publiczne i osoby pełniące funkcje publiczne lub odnosząca się do władz publicznych, a także treść dokumentów odnoszących się do organu władzy publicznej, związanych z nim bądź go dotyczących. Jak podkreślił WSA, z tego szerokiego zakresu informacji publicznej wyłączono jednak treści zawarte w dokumentach wewnętrznych, rozumiane jako informacje o charakterze roboczym (zapiski, notatki), które utrwalono w formie tradycyjnej lub elektronicznej, stanowiące pewien proces myślowy, proces rozważań, etap wypracowywania finalnej koncepcji, przyjęcia ostatecznego stanowiska przez pojedynczego pracownika lub zespół.

Od dokumentów urzędowych w rozumieniu art. 6 ust. 2 DostInfPublU odróżnia się dokumenty wewnętrzne służące wprawdzie realizacji jakiegoś zadania publicznego, ale nieprzesądzające o kierunkach działania organu. Dokumenty takie służą wymianie informacji, zgromadzeniu niezbędnych materiałów, uzgadnianiu poglądów i stanowisk. Nie są jednak wyrazem stanowiska organu, wobec czego nie stanowią informacji publicznej.

Zgodnie z art. 30 RODO, każdy administrator (przedstawiciel administratora) prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się m.in. imię i nazwisko lub nazwa oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa itd.

Rejestr ten jest więc opisem poszczególnych zespołów operacji związanych zbiorczo z realizacją określonego celu przetwarzania. Rejestr kategorii czynności stanowi natomiast krótszą formę rejestru czynności przetwarzania i w odróżnieniu od rejestru czynności nie musi zawierać celów przetwarzania, opisu kategorii osób, których dane dotyczą, kategorii danych osobowych oraz kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.

WSA w Łodzi stwierdził więc, że prowadzone rejestry czynności przetwarzania oraz rejestry kategorii czynności przetwarzania nie stanowią informacji publicznej, lecz stanowią dokument o charakterze wewnętrzno-organizacyjnym i porządkowym. W tym przypadku celem prowadzenia rejestrów jest usystematyzowanie wykonywanych operacji przetwarzania danych osobowych pod względem zgodności z wymaganiami prawnymi. Przesądza to o wewnętrznym i organizacyjnym charakterze wspomnianych rejestrów.

Ponadto, należy rozróżnić informację publiczną od nośnika tej informacji. Wspomniane wyżej rejestry nie zawierają informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych. Są więc nośnikiem informacji o charakterze wewnętrznym, porządkowym, ewidencyjnym, który ma służyć zapewnieniu m.in. porządku i bezpieczeństwa. Takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej.