Post

Czy można udostępnić dokumenty po incydencie cyberbezpieczeństwa? Praktyczny przewodnik dla JST

Atak ransomware w urzędzie, wyciek danych osobowych, awaria systemu IT - każdy taki incydent rodzi pytania ze strony mediów, obywateli i organizacji pozarządowych. Czy podmiot publiczny może odmówić udostępnienia dokumentów związanych z naruszeniem?

Opublikowane
Napisane przez Paweł Rosół
3 min read
Czy można udostępnić dokumenty po incydencie cyberbezpieczeństwa? Praktyczny przewodnik dla JST

Atak ransomware w urzędzie, wyciek danych osobowych, awaria systemu IT - każdy taki incydent rodzi pytania ze strony mediów, obywateli i organizacji pozarządowych. Czy podmiot publiczny może odmówić udostępnienia dokumentów związanych z naruszeniem? Odpowiedź brzmi: to zależy od tego, o jakie konkretnie informacje chodzi.

Co mówi prawo?

Kluczowy dla tej kwestii jest art. 37 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa. Ten przepis wprost wyłącza stosowanie ustawy o dostępie do informacji publicznej do informacji o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa. Brzmi jak całkowita odmowa? Nie do końca. W praktyce trzeba rozróżnić informacje o faktach od szczegółów technicznych.

Orzecznictwo sądów administracyjnych z ostatnich lat konsekwentnie wskazuje, że dokumenty techniczne bezpieczeństwa - rejestry RODO, dokumentacja SZBI, protokoły audytów - nie są informacją publiczną. Jednocześnie sądy wymagają, by każda odmowa była szczegółowo uzasadniona, a tam gdzie to możliwe, dane osobowe należy zanonimizować i udostępnić dokument częściowo.

Co można, a czego nie można udostępnić?

Informacje do udostępnienia (bez ograniczeń)

  • Fakt wystąpienia incydentu i datę jego wykrycia.
  • Ogólną kategorię naruszenia (poufność, integralność, dostępność).
  • Liczbę osób dotkniętych naruszeniem w sposób zagregowany (“100-1000 osób”).
  • Kategorie naruszonych danych w ujęciu ogólnym (“dane kontaktowe”, “dane identyfikacyjne”).
  • Fakt zgłoszenia do UODO, policji czy CERT Polska.
  • Ogólny opis podjętych działań naprawczych.

Informacje wymagające anonimizacji

  • Dane osobowe pracowników obsługujących incydent.
  • Dane osób, których naruszenie dotyczyło.
  • Dane kontaktowe inspektora ochrony danych.
  • Ogólne wnioski z analiz ryzyka (bez szczegółów technicznych).

Ważne: organ sam musi przeprowadzić anonimizację - nie może odmówić udostępnienia, tłumacząc się czasochłonnością tego procesu. Potwierdził to wyrok WSA w Warszawie, który nałożył karę 20 000 zł na prokuraturę za udostępnienie dokumentów bez uprzedniej anonimizacji.

Informacje podlegające całkowitej odmowie

  • Pełna dokumentacja SZBI (polityki, procedury, instrukcje).
  • Protokoły audytów bezpieczeństwa.
  • Szczegółowe analizy ryzyka i oceny skutków (DPIA).
  • Korespondencja z UODO zawierająca szczegóły zgłoszenia.
  • Plany ciągłości działania i odtwarzania po katastrofie.
  • Szczegóły techniczne podatności i konfiguracji systemów.

Dlaczego to ma sens?

Wyobraźmy sobie, że udostępniamy protokół audytu bezpieczeństwa. Taki dokument zawiera kompletną mapę naszych słabości: jakie systemy są podatne, które zabezpieczenia nie działają, co wymaga poprawy. To byłby prezent dla potencjalnych atakujących. Z tego powodu art. 15 ust. 7 ustawy o KSC wprost określa, że sprawozdanie z audytu może otrzymać tylko jeden z trzech podmiotów: organ ds. cyberbezpieczeństwa, Dyrektor RCB lub Szef ABW - i to tylko na uzasadniony wniosek.

Jak to wygląda w praktyce?

Gdy w lutym 2021 roku Urząd Marszałkowski Województwa Małopolskiego padł ofiarą ataku ransomware, opublikowano komunikat zawierający: datę incydentu, fakt zawiadomienia UODO i służb, ogólne kategorie dotkniętych osób oraz podjęte działania naprawcze. Nie ujawniono jednak szczegółów technicznych ataku. To wzorcowe podejście - transparentność co do faktów przy ochronie szczegółów technicznych.

Jak uzasadnić odmowę?

Jeśli odmawiacie udostępnienia dokumentacji SZBI, nie wystarczy napisać “dokument wewnętrzny” czy “bezpieczeństwo”. Należy wskazać konkretnie:

  • Jakie kategorie informacji są chronione (podatności, zagrożenia, dane osobowe)?
  • Jaki przepis wyłącza udostępnienie (art. 37 ust. 1 ustawy o KSC)?
  • Dlaczego anonimizacja nie wystarczy (dokument zawiera szczegóły techniczne)?
  • Jaki interes publiczny chroni odmowa (bezpieczeństwo systemów)?

Podsumowanie

W dobie rosnącej liczby cyberataków (Polska była globalnym liderem w I połowie 2025 roku z 6% światowych ataków ransomware) transparentność jest kluczowa dla zaufania publicznego. Obywatele mają prawo wiedzieć, że incydent wystąpił i jakie były jego skutki. Nie mają jednak prawa do wiedzy technicznej, która mogłaby ułatwić kolejne ataki.

Złota zasada: informujcie o faktach, chrońcie szczegóły techniczne, zawsze anonimizujcie dane osobowe.

Jednostki samorządu terytorialnego
Analiza ryzyka Naruszenia Informacja publiczna Anonimizacja
Ten post jest dostępny na licencji CC BY 4.0 .