Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po odločbah IP o dostopu do informacij javnega značaja

+ -
Datum: 22.12.2015
Naslov: Prosilec - Komisija za preprečevanje korupcije
Številka: 090-256/2015
Kategorija: Notranje delovanje organa
Status: Vrnjeno v ponovno odločanje


POVZETEK:

Prosilec je od organa zahteval posredovanje izvorne kode Supervizorja, dokumentacijo izvorne kode in podporno izvorno kodo. Organ je zahtevo zavrnil, pri čemer se je skliceval na izjemo notranjega delovanja in varovano avtorsko delo. IP je pritožbi prosilca ugodil in zadevo vrnil v ponoven postopek. Ugotovil je namreč, da organ v postopek ni pritegnil oseb, na pravice katerih je vplivala izpodbijana odločba, prav tako pa ni pravilno in popolno ugotovil dejanskega stanja glede obstoja izjeme notranjega delovanja. Iz navedb organa namreč izhaja, da bi organ moral, za popolno ugotovitev glede tega vprašanja, opraviti neodvisno zunanjo presojo, česar pa organ v postopku izdaje izpodbijane odločbe ni storil.

 

 

ODLOČBA:

 

 

Številka: 090-256/2015/3

Datum: 22. 12. 2015

 

Informacijski pooblaščenec po informacijski pooblaščenki Mojci Prelesnik (v nadaljevanju IP) izdaja na podlagi tretjega odstavka 27. člena Zakona o dostopu do informacij javnega značaja (Ur. l. RS, št. 51/06 - uradno prečiščeno besedilo, 117/06 – ZDavP2, 23/14 in 50/14 in 19/15 – odl. US; v nadaljevanju ZDIJZ), 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51-07 – ZUstS-A, v nadaljevanju ZInfP) in tretjega odstavka 251. člena Zakona o splošnem upravnem postopku (Ur. l. RS, številka 24/2006 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07- ZUP-E, 65/08-ZUP-F, 8/10-ZUP-G in 82/13-ZUP-H; v nadaljevanju ZUP), o pritožbi ……………….(v nadaljevanju prosilec) z dne 2. 10. 2015 zoper odločbo Komisije za preprečevanje korupcije, Dunajska cesta 56, 1000 Ljubljana (v nadaljevanju organ) št. 0900-37/2015-3 01013 z dne 15. 9. 2015 v zadevi odobritve dostopa do informacije javnega značaja naslednjo

 

 

 

O D L O Č B O:

 

  1. Pritožbi prosilca z dne 2. 10. 2015 zoper odločbo Komisije za preprečevanje korupcije št. 0900-37/2015-3 01013 z dne 15. 9. 2015 se ugodi in se izpodbijana odločba odpravi ter se zadeva vrne organu prve stopnje v ponovni postopek. Organ mora o zadevi odločiti najpozneje v 30 (tridesetih) dneh od prejema te odločbe.
  1. V postopku reševanja te pritožbe niso nastali posebni stroški.

 

 

 

 

O b r a z l o ž i t e v :

 

 

Prosilec je na organ dne 24. 8. 2015 naslovil zahtevo za posredovanje naslednjih informacij javnega značaja:

-       Izvorne kode Supervizorja,

-       Dokumentacije izvorne kode in API-jev Supervizorja,

-       Podporne izvorne kode Supervizorja (deploy, management, uvoz/izvoz podatkov, filtriranje podatkov).

Navedel je, da želi informacije prejeti v elektronski obliki, če je njihova velikost manjša od 10 megabajtov, kar na njegov elektronski naslov, sicer pa na njegov fizični naslov na primernem elektronskem mediju.

 

Organ je dne 15. 9. 2015 izdal odločbo št. 0900-37/2015-3 01013, s katero je zahtevo prosilca zavrnil v delu, ki se nanaša na izvorno kodo, dokumentacijo izvorne kode in podporno izvorno kodo za Supervizor, glede API – jev Supervizorja pa je organ prosilca napotil na svojo spletno stran, kjer je zahtevana informacija že enostavno javno dostopna. V obrazložitvi izpodbijane odločbe organ med drugim navaja, da z zahtevanimi informacijami razpolaga, vendar teh ne more posredovati, ker vsebujejo podatke, sestavljene v zvezi z notranjim delovanjem oziroma dejavnostjo, razkritje pa bi povzročilo motnje pri njegovem delovanju oziroma dejavnosti, kot to določa 11. točka prvega odstavka 6. člena ZDIJZ. Organ je ob vpogledu v zahtevano dokumentacijo namreč ugotovil, da ta vsebuje podatke o načinu spletne vizualizacije velike količine podatkov v bazi finančnih transakcij države in višin sredstev proračunskih uporabnikov, ki so bila izplačana na podlagi avtorskih in podjemnih pogodb posameznikov, ter podatek o tem, kako vse te podatke predstaviti na način, da bodo razkrita samo plačila. Organ ob tem poudarja, da podatke iz dokumentacije, ki se odražajo v Supervizorju, potrebuje za opravljanje svojih zakonsko določenih nalog, strnjenih v 12. členu ZIntPK in dodatno še v nekaterih posameznih členih ZIntPK (1. do 46., 35. in 36.,..) ter v Resoluciji o preprečevanju korupcije in Akcijskem načrtu uresničevanja Resolucije. Po mnenju organa je torej bistveno, da gre pri dokumentaciji, ki pomeni podlago za delovanje aplikacije Supervizor, za tako vrsto dokumentacije, ki je bila sestavljena za potrebe v zvezi z dejavnostjo oziroma v zvezi z nalogami organa. Glede presoje drugega kriterija izjeme notranjega delovanja, tj., da bi razkritje povzročilo motnje pri delovanju oziroma dejavnosti organa, organ navaja, da podporna izvorna koda za pridobivanje podatkov uporablja – poleg javno dostopnih – tudi vire, ki niso javno odstopni. Posredovanje oziroma razkritje izvorne kode pa bi pomenilo morebitno razkritje informacij o dostopu do teh virov podatkov, ki pa niso javno dostopni in so ustrezno varovani na več nivojih. Kljub temu, da so dostopni podatki ločeni od same izvorne kode, bi to za organ pomenilo veliko dodatnega dela (ponoven pregled celotne izvorne kode in morebitne predelave). Kljub upoštevanju vseh varnostnih priporočil in večleten razvoj aplikacije, bi posredovanje oziroma razkritje izvorne kode Supervizorja pomenilo večje varnostno tveganje za delovanje aplikacije. Npr. posredovanje oziroma razkritje ranljivosti bi lahko imelo za posledico napad na samo aplikacijo in prenehanje njenega delovanja. Aplikacija Supervizor in podporna izvorna koda ni odprtokodna, kljub temu, da je sama aplikacija (s podatki, ki jih prikazuje) javno dostopna. Organ zato zaključuje, da je dostop do zahtevane informacije treba zavrniti. Ob tem organ med drugim še dodaja, da gre pri zahtevani dokumentaciji tudi za varovano avtorsko delo. Avtor aplikacije si je s tem, ko je organu izročil kodo spletne aplikacije za njen prikaz, nastavitve spletnega strežnika ter osnovno verzijo metod za posodabljanje aplikacije, pridržal pravico, da se z izročitvijo ne prenašajo kakršnakoli avtorska upravičenja ter da izročitve ni dovoljeno razlagati kot razpolagalni posel s kakršnimkoli avtorskim upravičenjem. Po mnenju organa je dostop do zahtevanih informacij torej treba zavrniti tudi iz tega razloga.

 

Zoper odločbo organa je prosilec dne 2. 10. 2015 pri organu vložil pritožbo. Ne strinja se z razlogovanjem organa, da gre za izjemo notranjega delovanja. Meni, da organ zahtevanih informacij (torej izvorne kode) ne potrebuje za uresničevanje svojih zakonskih nalog. Supervizor tudi ni bil namenjen notranjemu delovanju organa, temveč je bil zasnovan kot način spletne vizualizacije velike količine podatkov v bazi finančnih transakcij države in višin sredstev proračunskih uporabnikov, ki so bila izplačana na podlagi avtorskih in podjemnih pogodb posameznikov ter, kako te podatke predstaviti na način, da bodo razkrita samo plačila. Ob tem pa prosilec dodaja, da če bo IP presodil, da je utemeljitev organa prepričljiva, naj vseeno preveri, kolikokrat so uslužbenci v okviru naštetih nalog organa dostopali do Supervizorja oz. v katerih konkretnih postopkih je Supervizor »naštet« kot gradivo oz. dokaz – to bi bilo najbližje uporabi za notranje delovanje organa. Prav tako je, po mnenju prosilca, zgolj naštevanje zakonodaje oziroma tipov postopkov, ki jih organ lahko uvede, preveč pavšalno in ni konkretizirano. Prosilec meni, da organ ni v zadostni meri izkazal, kakšna škoda bi mu nastala z razkritjem izvorne kode. Po mnenju prosilca so viri podatkov Supervizorja tako ali tako informacije javnega značaja, prav tako njihova struktura. Uporabniška imena, gesla, način dostopa, ki naj bi bil razviden iz kode, in podobno, pa bi lahko organ z institutom delnega dostopa izločil iz dokumentacije, kar je prosilec tudi že navedel v zahtevi. Prosilec se tudi ne strinja z argumentom organa, ki kot škodo navaja varnostno tveganje in da bi posredovanje podatkov lahko razkrilo ranljivosti in imelo za posledico napad na aplikacijo in prenehanje njenega delovanja. Obstajajo namreč tudi napadi, pri katerih dostopnost kode ni pomembna (npr. (D)DoS napad), 100% varne programske kode namreč po mnenju prosilca ni mogoče zagotoviti, zato je vsakršna (bolj kompleksna) izvorna koda inherentno podvržena možnosti odkritja (in s tem posredovanja oz. razkritja) ranljivosti. Stališče organa bi namreč pomenilo, da bi se za vsako izvorno kodo bilo mogoče sklicevati na to izjemo, z drugimi besedami, vsaka taka izvorna koda bi bila nedostopna javnosti. Če je organ že presojal škodo razkritja ranljivosti, bi moral presojati tudi dobrobit tega: da bi se ranljivosti najprej razkrile organu, ki bi jih tako lahko popravil, še preden zanje izve javnost, t.i. »responsible disclosure«. Prosilec nasprotuje tudi argumentom organa v delu, v katerem ta navaja, da gre za varovano avtorsko delo. Meni, da je to v nasprotju z vsaj eno javno izjavo organa »da so pri organu zaposlili skupino ljudi z različnimi znanji, ki se bo v prihodnje ukvarjala z vzdrževanjem in nadgradnjo aplikacije. Komisija namreč načrtuje njeno razširitev, med drugim z novimi podatki, kot so e – računi, za katere se morajo še dogovoriti za njihovo pridobivanje.« Po mnenju prosilca vzdrževanje in nadgrajevanje po navadi pomeni spreminjanje, to pa je ena izmed materialnih avtorskih pravic (pravica predelave). Organ tako enkrat zatrjuje, da pravice (oz. vsaj eno) ima, saj je v ta namen celo zaposlil določeno osebje, v odločbi pa navaja, da nima nobene pravice. Prosilec zato predlaga IP, da za presojo katere navedbe organa držijo, preveri dokumentacijo o sodelovanju med organom in avtorjem zahtevanih informacij. Poleg tega prosilec meni, da bi mu moral organ, tudi v primeru varovanega avtorskega dela, po 25. členu ZDIJZ, omogočiti vsaj vpogled. Zaradi vsega navedenega prosilec IP predlaga, da njegovi pritožbi ugodi, izpodbijano odločbo razveljavi in pošlje organu v ponovno odločanje.

 

IP je z namenom ugotovitve popolnega dejanskega stanja dne 23. 10. 2015 pri organu opravil ogled in camera, na podlagi 11. člena ZInfP.

 

Na ogledu je organ vztrajal, da gre pri zahtevanih informacijah za izjemo, ki predstavlja izjemo notranjega delovanja in razkritje katerih bi organu povzročilo motnje pri delovanju oz. dejavnosti organa. Dostop do zahtevanih informacij ima pri organu le informatik, pri predsedniku KPK pa se v ognjevarni omari hrani USK ključek, kot to izhaja iz prevzemnega zapisnika z dne 20.7.2015. Pri organu zaposleni za potrebe opravljanja svojega dela uporabljajo Supervizor v obliki dostopa, kot je javno dostopen širši javnosti. Uporablja pa se predvsem za ugotavljanje elementov korupcije, nasprotja interesov, preverjanja vsebine prijav, da lahko organ morebitnim drugim pristojnim organom po potrebi posreduje tudi že konkretne podatke, organ pa podatke potrebuje tudi za postopke preventive (kot npr. honorarji iz naslova avtorskih in podjemnih pogodb). Glede škode, ki bi organu nastala z razkritjem izvorne kode spletne aplikacije, je organ pojasnil, da je njena funkcija predvsem vizualizacija podatkov v pripadajoči podatkovni bazi in da posledično trenutno ne more identificirati specifičnih tveganj, ki bi lahko nastala z razkritjem, da pa bi za dokončen odgovor glede obstoja teh tveganj bila potrebna neodvisna zunanja presoja. Te presoje organ ni opravil in je, glede na že navedeni prevzemni zapisnik, tudi ne more opraviti, ker za to nima materialnih avtorskopravnih upravičenj – kopije izvorne kode namreč ni upravičen izročiti tretji osebi. V kolikor bi izvorna koda imela pomanjkljivosti, bi morebitne tretje osebe to lahko izkoristile in posegle v same podatkovne baze (npr. dodajale podatke, spreminjale obstoječe podatke, jih prirejale,..). Organ je še dodal, da je Supervizor zbirka osebnih podatkov (kot je že ugotovil IP) in da je organ kot upravljavec odgovoren za točnost in ažurnost podatkov, ki se vodijo v zbirki. Poleg tega organ podatke iz teh baz uporablja tudi za postopke, ki jih vodi v okviru zakonitih pristojnosti, morebitni napačni podatki pa bi lahko povzročili škodo tako v teh postopkih obravnavanim osebam kot organu. Glede dokumentacije izvorne kode je organ pojasnil, da od avtorja izvorne kode ni prejel nobene dokumentacije, razen kar je prevzel s prevzemnim zapisnikom. Glede podporne izvorne kode je organ pojasnil, da gre za skupek bash oz. python skript in postgresql stavkov, ki skrbijo za prevzem, transformacijo, filtriranje in uvoz podatkov od posameznih virov v podatkovno bazo Supervizorja. Iz teh skript so razvidni tako prevzemni mehanizmi (ftp, web service, ..), kot tudi dostopni podatki (gesla, certifikati) in struktura prevzetih podatkov. Glede vprašanja, ali je do podporne izvorne kode možen delni dostop na način, da bi organ izločil navedene varovane podatke, je organ pojasnil, da brez zunanje varnostne analize ne more trditi, da bi bila taka ločitev možna in zato je na stališču, da bi bilo treba dostop do podporne izvorne kode zavrniti v celoti. Z razkritjem dostopnih pravic bi lahko prišlo do nepooblaščenih dostopov do podatkov pri virih. Prav tako bi z razkritjem strukture prejetih podatkov vsaj od nekaterih virov (npr. MFERAC) lahko prišlo do škode pri delovanju informacijskih sistemov pri tem viru.

 

Pritožba je utemeljena.

 

IP je pritožbo prosilca kot pravočasno, dovoljeno in vloženo po upravičeni osebi, prevzel v obravnavo in kot organ druge stopnje, v skladu z 247. členom ZUP, izpodbijano odločbo organa preizkusil v delu, v katerem jo prosilec izpodbija in v mejah njegovih pritožbenih navedb. Po uradni dolžnosti je preizkusil, ali ni v postopku na prvi stopnji prišlo do bistvenih kršitev postopka in ali ni bil prekršen materialni zakon.

 

V obravnavani zadevi ni sporno, da je organ zavezanec za posredovanje informacij javnega značaja po 1. členu ZDIJZ, prav tako ni sporno, da z informacijami, ki jih zahteva prosilec, organ vsaj v določenem delu (izvorna koda, podporna izvorna koda) razpolaga. Sporno pa je vprašanje, ali zahtevane informacije predstavljajo izjemo notranjega delovanja po 11. točki prvega odstavka 6. člena ZDIJZ, ki določa, da organ prosilcu zavrne dostop do podatkov iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organov, in bi njegovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti organa. IP v zvezi s slednjim ugotavlja, da organ v izpodbijani odločbi ni popolnoma ugotovil dejanskega stanja glede tega vprašanja. Iz navedb organa na ogledu in camera namreč izhaja, da bi organ moral, za popolno ugotovitev glede tega vprašanja, opraviti neodvisno zunanjo presojo, česar pa organ v postopku izdaje izpodbijane odločbi ni storil. IP tako, na podlagi ugotovitev v pritožbenem postopku, ugotavlja, da gre pri presoji glede javne dostopnosti izvorne in podporne izvorne kode za aplikacijo Supervizor za tehnično vprašanje, za presojo katerega je potrebno strokovno znanje, s katerim niti uradna oseba organa, ki je vodila postopek, niti uradna oseba IP, ki vodi pritožbeni postopek, ne razpolagata. Po mnenju IP bi organ moral, kot to določa 189. člen ZUP, za popolno ugotovitev dejanskega stanja, v postopku imenovati izvedenca. Iz izpodbijane odločbe namreč izhaja, da se organ ni spustil v dejansko vsebinsko obravnavo zadeve in ni natančno ugotovil, kakšne posledice bi lahko zastale z razkritjem zahtevanih informacij, prav tako pa se organ ni ustrezno opredelil glede vprašanja delnega dostopa do zahtevanega dokumenta (7. člen ZDIJZ).  

Zaradi nepopolno ugotovljenega dejanskega stanja je IP tako ugotovil, da je pritožba prosilca utemeljena, odločbo prve stopnje pa je treba odpraviti, skladno z določbo 3. odstavka 251. člena ZUP.

Ker je IP kot drugostopenjski organ, enako kot organ prve stopnje, dolžan spoštovati temeljna načela upravnega postopka, je dolžan upoštevati tudi načelo ekonomičnosti postopka, kot ga določa 14. člen ZUP. Postopek je torej treba voditi hitro, kar pomeni tudi s čim manjšo zamudo za stranke in druge udeležence v postopku, vendar tako, da se preskrbi vse, kar je potrebno, da se lahko ugotovi dejansko stanje, zavarujejo pravice in pravne koristi stranke ter izda zakonita in pravilna odločba. IP je ocenil, da bo pomanjkljivosti postopka na prvi stopnji hitreje in bolj ekonomično odpravil sam organ prve stopnje. Poleg popolne ugotovitve dejanskega stanja glede vprašanja škode, ki bi/ne bi nastala z razkritjem zahtevanih informacij, mora organ, v skladu s 44. členom ZUP, v ponovljen postopek pritegniti tudi avtorja aplikacije Supervizor. Navedeni člen namreč določa, da mora organ ves čas postopka po uradni dolžnosti paziti na udeležbo tretjih oseb, na katerih pravice in obveznosti bi lahko vplivala njegova odločba. Ker se je organ v izpodbijani odločbi sam skliceval na dejstvo, da zahtevane informacije predstavljajo tudi varovano avtorsko delo, odločanje o njihovi javni dostopnosti nedvomno vpliva na pravice in obveznosti avtorja, zato ga mora organ pritegniti v postopek kot stranskega udeleženca ter mu dati možnost, da se izjasni o zadevi.

Kot izhaja iz 1. točke izreka te odločbe, mora organ o zadevi o zadevi odločiti najpozneje v 30 (tridesetih) dneh od prejema te odločbe.

Ta odločba je v skladu s 30. točko 28. člena Zakona o upravnih taksah (Uradni list RS, št. 106/2010-UPB5) oproščena plačila upravne takse.

 

Posebni stroški v tem postopku niso nastali.

 

 

Pouk o pravnem sredstvu:

Zoper to odločbo ni dovoljena pritožba, niti upravni spor.

 

 

 

Postopek vodila:

Kristina Kotnik Šumah, univ. dipl. prav.,

namestnica pooblaščenke

 

Informacijski pooblaščenec:          

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka