Jedro

Omejitev ustavne pravice do dostopa do informacij javnega značaja je treba v primeru konflikta z interesom državnega organa razlagati ozko, vendar ne tako ozko, da legitimen interes državnega organa povsem zvodeni. Zato je treba v obzir vzeti vse okoliščine primera in upoštevati, da ima posredovanje dokumenta kot informacije javnega značaja za posledico, da ga lahko zahteva katerakoli oseba, v primeru najmanj treh zahtev pa ga je organ tudi dolžan posredovati v svetovni splet. Ko se, kot v obravnavanem primeru, zatrjuje, da bo razkritje dokumenta o shemi podatkovne baze ogrozilo varnost informacijskega sistema, ki je ključen za poslovanje in s tem delovanje ne le ministrstva, ampak tudi ostalih uporabnikov sistema, od ministrstva ni mogoče zahtevati zagotovila, da bo dejansko prišlo do vdora v informacijski sistem in vseh zatrjevanih negativnih posledic. Z dokaznim standardom onkraj dvoma mora biti izkazana stvarna, resnična grožnja varnosti informacijskega sistema.

Izrek

Tožbi se ugodi tako, da se odločba Informacijskega pooblaščenca št. 090-150/2010/38 z dne 21. 11. 2012 odpravi v 1. točki izreka, odpravi pa se tudi odločba Ministrstva za finance št. 090-22/2010/2 z dne 19. 7. 2010 v delu, v katerem je bila z njo zavrnjena zahteva prosilca A.A. za posredovanje načrta oziroma sheme podatkovne baze sistema MFERAC, ter se zadeva v tem delu vrne Ministrstvu za finance v ponovni postopek.

Vsaka stranka trpi svoje stroške postopka.

Obrazložitev

Ministrstvo za finance (v nadaljevanju Ministrstvo) je z odločbo z dne 19. 7. 2010 zavrnilo zahtevo prosilca A.A. (v nadaljevanju prosilec) za posredovanje informacij javnega značaja z dne 17. 6. 2010 v delu, ki se nanaša na načrt podatkovne baze, programske vmesnike za dostop do nje ter kopijo podatkovne baze sistema MFERAC s stanjem na 17. 6. 2010 oziroma novejšim stanjem. Iz obrazložitve odločbe izhaja, da je prosilec na Ministrstvo podal zahtevo za posredovanje faksimila naslednje dokumentacije o sistemu MFERAC: sheme podatkovne baze, programskih vmesnikov za dostop do nje in odločitev, s katero je bil sistem vpeljan, zahteval pa je tudi posredovanje kopije podatkovne baze sistema MFERAC s stanjem na dan vložitve zahteve oziroma novejšim stanjem. Odločitve o vpeljavi sistema so bile prosilcu posredovane, v preostalem delu pa je bila zahteva z odločbo zavrnjena. Informacijski sistem MFERAC podpira poslovanje proračunskih uporabnikov na finančnem, računovodskem in plačno-kadrovskem področju ter Ministrstvu in neposrednim proračunskim uporabnikom omogoča nadzor nad izvrševanjem proračuna in vodenje enotnega računovodstva. Med javno dostopnimi podatki o sistemu na spletni strani zahtevane dokumentacije ni, saj je namenjena notranjemu delovanju Ministrstva, njeno razkritje pa bi ogrozilo varnost sistema in s tem povzročilo motnjo pri delovanju Ministrstva. To je zato odločilo, da se dokumentacija skladno z 11. točko prvega odstavka 6. člena Zakona o dostopu do informacij javnega značaja (v nadaljevanju ZDIJZ) prosilcu ne razkrije; glede same podatkovne baze sistema MFERAC pa se je sklicevalo še na izjemi iz 2. in 3. točke prvega odstavka 6. člena ZDIJZ.

Prosilčevo pritožbo zoper navedeno odločbo je Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) najprej v celoti zavrnil z odločbo z dne 5. 10. 2010, vendar je to sodišče s sodbo št. I U 1589/2010 z dne 8. 6. 2011 tožbi prosilca ugodilo, odpravilo odločbo Pooblaščenca in temu zadevo vrnilo v ponovni postopek, ker prosilcu ni dal možnosti, da se pred izdajo odločbe izreče o ključnih dejstvih in okoliščinah, ki jih je Pooblaščenec ugotovil bodisi sam bodisi izključno na podlagi pojasnil Ministrstva. Poleg tega je sodišče opozorilo, da glede na 1. alinejo tretjega odstavka 6. člena ZDIJZ Pooblaščenec ne more izvajati testa sorazmernosti oziroma škodnega testa, če gre za podatke o porabi javnih sredstev.

V ponovnem pritožbenem postopku je Pooblaščenec izdal odločbo z dne 21. 11. 2012, s katero je v 1. točki izreka pritožbi prosilca delno ugodil, prvostopenjsko odločbo odpravil v delu, ki se nanaša na kopijo dokumentacije o shemi podatkovne baze sistema MFERAC, ter odločil, da mora Ministrstvo prosilcu v 31 dneh od prejema odločbe posredovati elektronsko kopijo podatkovnega slovarja sistema MFERAC. V 2. točki izreka odločbe je Pooblaščenec v delu prosilčeve zahteve, ki se nanaša na faksimile programskega vmesnika za dostop do podatkovne baze sistema MFERAC in kopijo podatkovne baze tega sistema s stanjem na dan 17. 6. 2010 oziroma novejšim stanjem, pritožbo prosilca zavrnil. V 3. točki izreka je odločil o nagradi in stroških izvedenca B.B. za izvedensko delo, ki ga je opravil v postopku; v 4. točki izreka pa zavrnil prosilčevo zahtevo za povrnitev potnih stroškov na ustni obravnavi.

V obrazložitvi navedene odločbe Pooblaščenec pojasni, da je v ponovnem postopku prosilca seznanil z dejstvi in okoliščinami, pomembnimi za odločitev. Postavil pa je tudi izvedenca, ki je izdelal izvedensko mnenje in ga predstavil na ustni obravnavi, na kateri je tudi odgovarjal na vprašanja uradne osebe, prosilca in Ministrstva. Le-to je na zahtevo, naj posreduje shemo podatkovne baze MFERAC, Pooblaščencu posredovalo podatkovni slovar in pojasnilo, da je izpis iz podatkovnega slovarja vsebinsko enak shemi podatkovne baze. Pri presoji pritožbe oziroma prvostopenjske odločitve Pooblaščenec ugotavlja, da programski vmesnik kot računalniški program ne pomeni informacije javnega značaja v smislu prvega odstavka 4. člena ZDIJZ, zaradi česar pritožbo v tem delu zavrne. Tako odloči tudi v delu, ki se nanaša na posredovanje kopije podatkovne baze MFERAC na določen datum, in sicer zaradi obstoja izjeme po 3. točki prvega odstavka 6. člena ZDIJZ, pri čemer delni dostop ni mogoč. Glede posredovanja dokumentacije o shemi podatkovne baze sistema MFERAC pa odloči, kot sledi iz 1. točke izreka odločbe, saj ta dokumentacija izpolnjuje pogoje za informacijo javnega značaja iz prvega odstavka 4. člena ZDIJZ, v zvezi z njo pa ni podana nobena od izjem iz prvega odstavka 6. člena ZDIJZ, tudi ne tista iz 11. točke, na katero se je sklicevalo Ministrstvo.

Za obstoj izjeme po 11. točki prvega odstavka 6. člena ZDIJZ morata biti kumulativno izpolnjena dva pogoja. Prvič, podatek mora izhajati iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organa, kar je v primeru dokumentacije o shemi podatkovne baze sistema MFERAC nedvomno izpolnjeno. Drugič, opraviti je treba zelo strog škodni test, pri čemer se Pooblaščenec sklicuje na stališča iz sodbe tega sodišča št. I U 1176/2010 z dne 30. 11. 2011. Nato povzame navedbe, ki jih je v zvezi z razkritjem te dokumentacije podalo Ministrstvo na ogledu in camera dne 17. 9. 2010, citira vprašanje, ki ga je Pooblaščenec v zvezi s tem postavil izvedencu, in povzame izvedensko mnenje v tem delu, na podlagi katerega zaključi, da razkritje informacij o strukturi baze ne bi smelo pomeniti varnostne grožnje organu, zato ni izpolnjen kriterij za obstoj motenj (dokazni standard onkraj dvoma) in s tem za obstoj obravnavane izjeme.

Tožeča stranka vlaga tožbo v upravnem sporu, ker se ne strinja z odločitvijo iz 1. točke izreka odločbe Pooblaščenca; temu očita, da ni pravilno uporabil zakona, da ni ravnal po pravilih postopka in da tudi dejanskega stanja ni pravilno in popolno ugotovil. Predlaga, da sodišče tožbi ugodi, v izpodbijani 1. točki izreka odločbo Pooblaščenca odpravi in temu zadevo vrne v ponovni postopek; odloči pa naj tudi o stroških postopka v skladu z Zakonom o upravnem sporu (v nadaljevanju ZUS-1) in Pravilnikom o povrnitvi stroškov tožniku v upravnem sporu.

V tožbi poudari, da je podatkovni slovar sistema MFERAC del dokumentacije, ki je namenjena notranjemu delovanju Ministrstva in bi njeno razkritje ogrozilo varnost sistema MFERAC in s tem povzročilo motnje pri delovanju Ministrstva. Te dokumentacije glede na njeno vsebino zaradi celovitega zagotavljanja varnosti sistema ni dovoljeno posredovati javnosti in tudi varovanje zaupnosti strukture podatkovne baze je pomemben (tudi če ne sam zase bistven) del zagotavljanja varnosti sistema. Pri tem se tožeča stranka sklicuje na priložena mednarodna standarda ISO/IEC 27001 (ki navaja zahteve informacijske varnosti) in ISO/IEC 27002 (ki navaja tehnike za uvajanje informacijske varnosti) ter na Priporočila informacijske varnostne politike javne uprave (št. 386-2/2008/23 z dne 28. 10. 2010, podpisana 15. 11. 2010 in objavljena na spletni strani za javno upravo pristojnega ministrstva), zlasti na njihov 4., 41. in 110. člen. Razkrivanje strukture podatkov pomeni kršenje zahtev standardov in Priporočil, saj omogoča lažjo krajo oziroma nepooblaščeno spreminjanje in brisanje ali drugačno zlorabo podatkov ob morebitnem vdoru v informacijski sistem. Na tej osnovi lahko namreč nepooblaščena oseba že vnaprej pripravi načrt za povzročitev škode v informacijskem sistemu (npr. potvarjanje podatkov ali kako drugo zlorabo).

Izpodbijana odločitev Pooblaščenca tudi ni skladna z namenom iz 2. člena ZDIJZ. Sodba št. I U 1176/2010, na katero se sklicuje Pooblaščenec, se nanaša na bistveno drugačen primer, ko je šlo za priročnik, ki je določal način delovanja organa, tudi način odločanja o pravicah, organ pa ni navedel konkretne škode za svoje delovanje, ki bi nastala z objavo priročnika. Tožeča stranka sicer ne more zagotoviti, da bo razkritje podatkovnega slovarja sistema MFERAC imelo negativne posledice, vendar je grožnja varnosti sistema, ki bi jo povzročilo posredovanje zahtevanih podatkov, izkazana in resnična. V zadevi ne gre za vprašanje, ali bo prosilec pridobljene informacije izkoristil za ogrozitev sistema, ampak za odločanje, ali so ti podatki javni, torej dostopni vsem, tudi tistim, ki imajo interes, možnost in znanje podatke izkoristiti za povzročitev škode v informacijskem sistemu.

Tožena stranka je sodišču predložila upravne spise zadeve ter podala odgovor na tožbo, v katerem vztraja pri svoji odločbi in njenih razlogih, tožbene navedbe zavrača kot neutemeljene in predlaga, naj sodišče tožbo zavrne. Opozarja, da so tožbeni očitki o kršitvi pravil postopka in nepravilni uporabi zakona neargumentirani ter da se s salvatorično klavzulo ni mogoče izogniti pravilu o substanciranem izpodbijanju upravnih aktov. Tožeča stranka se v podporo svojim navedbam, da bi razkritje podatkovnega slovarja sistema MFERAC ogrozilo varnost sistema in s tem povzročilo motnje pri delovanju Ministrstva, sklicuje na mednarodna standarda ISO/IEC 27001 in ISO/IEC 27002 ter Priporočila informacijske varnostne politike javne uprave. Vendar nobenega od teh argumentov oziroma dokumentov ni navedla oziroma predložila niti v postopku na prvi stopnji (tudi ne v lastni odločbi) niti v katerikoli fazi pritožbenega postopka pred toženo stranko. Zato gre za tožbene novote v smislu tretjega odstavka 20. člena ZUS-1. Takšno stališče izhaja tudi iz sodbe tega sodišča št. U 2111/2008 z dne 2. 6. 2010. V postopku pred izdajo izpodbijane odločbe tožeča stranka ni izkazala drugega pogoja za obstoj izjeme po 11. točki prvega odstavka 6. člena ZDIJZ, to je možnosti nastanka motenj. Tega ni ugotovil niti izvedenec v izvedenskem mnenju, na katero tožeča stranka ni podala pripomb, oporekala pa mu ni niti na ustni obravnavi. Zgolj njena ocena, da sistem MFERAC ni dovolj varen, ne more zadoščati, da sistem v celoti zapre za javnost. Glede tega vprašanja je Pooblaščenec v celoti sledil strokovnemu mnenju zapriseženega izvedenca, ki ga je ocenil kot popolno, jasno in nedvoumno, tožeča stranka pa v upravnem postopku ni navedla nobenih tehtnih nasprotnih argumentov.

Namen iz 2. člena ZDIJZ ni pogoj za to, da se določen dokument opredeli kot informacija javnega značaja. Tožena stranka tudi sicer zavrača tožbeno navedbo, da posredovanje podatkovnega slovarja sistema MFERAC ne pripomore k javnosti in odprtosti delovanja Ministrstva. Ta dokument bi ustrezno tehnično izobraženemu prosilcu omogočal preveriti, ali je Ministrstvo pridobilo učinkovit in varen podatkovni sistem, saj je bil ta v celoti financiran iz javnih sredstev. Da lahko gre za pregled nad ustreznostjo porabe javnih sredstev, je impliciralo že to sodišče v sodbi št. I U 1589/2010. Prizadeta stranka v tem upravnem sporu, to je prosilec za dostop do informacij javnega značaja, na tožbo ni odgovoril. Sodišče je o tožbi odločilo brez glavne obravnave na podlagi določila 1. alineje drugega odstavka 59. člena ZUS-1. Obrazložitev k I. točki izreka: Tožba je utemeljena.

Predmet izpodbijanja in s tem presoje v obravnavanem upravnem sporu je zgolj odločitev, na katero se nanaša 1. točka izreka odločbe Pooblaščenca z dne 21. 11. 2012, to je odločitev o zahtevi prosilca za posredovanje dokumentacije o shemi podatkovne baze sistema MFERAC: Ministrstvo je s svojo odločbo prosilčevo zahtevo z dne 17. 6. 2010 (tudi) v tem delu zavrnilo, Pooblaščenec pa je v ponovnem postopku prosilčevi pritožbi delno ugodil, prvostopenjsko odločbo v tem delu odpravil in odločil, da mora Ministrstvo prosilcu posredovati elektronsko kopijo podatkovnega slovarja sistema MFERAC. Odločitev o preostalem delu zahteve, to je, kolikor se nanaša na posredovanje programskega vmesnika za dostop do podatkovne baze sistema MFERAC in kopije podatkovne baze sistema s stanjem na dan 17. 6. 2010 oziroma novejšim stanjem, ni predmet tožbe in se zato sodišče v presojo njene pravilnosti in zakonitosti v tem upravnem sporu ni spuščalo; enako velja glede stroškovnih odločitev iz 3. in 4. točke izreka odločbe Pooblaščenca. V delu, v katerem je zahteval posredovanje odločitev, s katerimi je bil sistem MFERAC vpeljan, pa je že Ministrstvo zahtevi ugodilo in te informacije prosilcu posredovalo in o tem tudi nikoli ni bilo spora.

Glede na navedbe Pooblaščenca v odgovoru na tožbo je treba pojasniti, da v skladu s prvim odstavkom 20. člena ZUS-1 sodišče razišče in preizkusi dejansko stanje v okviru tožbenih navedb. Na ostale razloge, zaradi katerih se sme upravni akt izpodbijati (prvi odstavek 27. člena ZUS-1), to je na pravilno uporabo materialnega prava, bistvene kršitve določb postopka pred izdajo upravnega akta in razloge za ničnost upravnega akta, pa sodišče pazi po uradni dolžnosti. Teh razlogov tudi ne zadeva prekluzija iz tretjega odstavka 20. člena ZUS-1, ki določa, da stranke ne smejo navajati dejstev in predlagati dokazov, če so imele možnost navajati ta dejstva in predlagati te dokaze v postopku pred izdajo akta. Glede na takšno zakonsko ureditev se dolžnost substanciranja ugovorov, kot tudi dolžnost pravočasnega navajanja oziroma predlaganja, nanaša na dejansko stanje oziroma na dejstva in dokaze. Pri presoji, ali je tožeča stranka tej dolžnosti zadostila, je sicer sodna praksa v zadevah, ko je tožeča stranka sam zavezanec za posredovanje informacij javnega značaja, nekoliko strožja, ker postopek na prvi stopnji vodi sam zavezanec. Vendar to še ne pomeni, da sodišče v tovrstnih zadevah v celoti odstopa od opisanih principov ZUS-1, kot tudi ne od pravila, da mora organ, ki odloča, v postopku ugotoviti resnično dejansko stanje in torej vsa dejstva, ki so pomembna za zakonito in pravilno odločbo (8., 138. in 139. člen Zakona o splošnem upravnem postopku, v nadaljevanju ZUP).

Prvi odstavek 4. člena ZDIJZ določa, da je informacija javnega značaja informacija, ki izvira iz delovnega področja organa, nahaja pa se v obliki dokumenta, zadeve, dosjeja, registra, evidence ali drugega dokumentarnega gradiva (v nadaljevanju dokument), ki ga je organ izdelal sam, v sodelovanju z drugim organom ali pridobil od drugih oseb. Kot ugotavlja Pooblaščenec, Ministrstvo razpolaga s shemo podatkovne baze sistema MFERAC v obliki podatkovnega slovarja v materializirani (elektronski) obliki, pri čemer gre brez dvoma za informacijo, ki izvira iz delovnega področja organa. To pomeni, da zahtevana dokumentacija o shemi podatkovne baze sistema MFERAC izpolnjuje vse tri kriterije, ki morajo biti glede na citirano zakonsko določilo kumulativno izpolnjeni za obstoj informacije javnega značaja, to so: (1.) informacija mora izvirati iz delovnega področja organa, (2.) organ mora z njo razpolagati in (3.) nahajati se mora v materializirani obliki. Razlogov, ki bi kazali na zmotnost takšnega zaključka, sodišče ne najde, sicer pa tožeča stranka navedenim ugotovitvam niti ne oporeka.

Pač pa tožeča stranka opozarja na neskladnost izpodbijane odločitve Pooblaščenca z namenom zakona, izraženim v 2. členu ZDIJZ, in v tem pogledu izpostavi pomislek, da ni jasno, kako bi posredovanje podatkovnega slovarja sistema MFERAC, ki je dokument predvsem tehnične narave in katerega poznavanje ne more vplivati na pravice in obveznosti državljanov, pripomoglo k javnosti in odprtosti delovanja Ministrstva. Na te tožbene ugovore že tožena stranka pravilno odgovori, da namen zakona iz 2. člena ZDIJZ ne pomeni pogoja za opredelitev določenega dokumenta kot informacije javnega značaja, ampak je treba pri odločanju o zahtevi za dostop do informacije javnega značaja presoditi, ali dokument izpolnjuje pogoje, da se opredeli kot informacija javnega značaja iz 4. člena ZDIJZ, ter nato, ali je podana kakšna od izjem glede dostopa do informacij javnega značaja iz 6. člena navedenega zakona.

Po ugotovitvi, da dokumentacija o shemi podatkovne baze informacijskega sistema MFERAC izpolnjuje pogoje iz 4. člena se je, glede na navedbe Ministrstva, postopek pred Pooblaščencem utemeljeno osredotočil na ugotavljanje obstoja izjeme po 11. točki prvega odstavka 6. člena ZDIJZ, po kateri se prosilcu zavrne dostop do zahtevane informacije, če se zahteva nanaša na podatek iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organov in bi njegovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti organa (drugih izjem v zvezi s to dokumentacijo namreč Ministrstvo ni niti zatrjevalo).

Pri presoji zaključkov Pooblaščenca v obravnavanem primeru sodišče ne odstopa od ustaljenega stališča, da je v primeru konflikta med ustavno pravico do dostopa do informacij javnega značaja (drugi odstavek 39. člena Ustave RS) in interesom državnega organa treba omejitev ustavne človekove pravice razlagati ozko, vendar pa dodaja, da razlaga ne more biti tako ozka, da tudi legitimen interes državnega organa povsem razvodeni. Prav do takšnega rezultata bi med drugim pripeljalo stališče, da vsak podatek iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organa in je bil financiran iz javnih sredstev, že zato pomeni tudi podatek o porabi javnih sredstev in s tem, upoštevaje določilo 1. alineje tretjega odstavka 6. člena ZDIJZ, izključuje uporabo izjeme iz 11. točke prvega odstavka 6. člena tega zakona. Pri dokumentaciji o shemi podatkovne baze sistema MFERAC oziroma elektronski kopiji podatkovnega slovarja sistema MFERAC gre za podatke tehnične narave, to je dokumentacijo o strukturi podatkov v podatkovni bazi sistema MFERAC, skupaj z delovnimi postopki za ravnanje s podatki, in torej ne gre neposredno za podatke o porabi javnih sredstev. Upoštevaje vse povedano zato za odločitev, ki se presoja v tem upravnem sporu, določilo 1. alineje tretjega odstavka 6. člena ZDIJZ ni relevantno; za razliko od predhodnega upravnega spora, v katerem je bila izdana sodba št. I U 1589/2010 in v katerem je bila predmet presoje celotna zavrnilna odločitev o zahtevi, vključno z delom, ki se nanaša na posredovanje kopije podatkovne baze sistema MFERAC s stanjem na določen datum, ki pa je glede na vsebino podatkov v bazi brez dvoma pomenila prav zahtevo za posredovanje podatkov o porabi javnih sredstev, za kar pa je (bilo) relevantno v omenjeni sodbi izpostavljeno določilo 1. alineje tretjega odstavka 6. člena ZDIJZ.

Glede 11. točke prvega odstavka 6. člena ZDIJZ Pooblaščenec pravilno navaja, da je mogoče dostop do informacije na tej podlagi zavrniti le, če bi bile motnje, ki bi nastale pri delovanju organa, večje od pravice javnosti, da se seznani z informacijo, ter da se pri tej izjemi zahteva strog test. V zvezi s stališčem, da mora, če naj se dostop zavrne, razkritje dokumenta ne le ogroziti varovano pravno dobrino, ampak že resno ogroziti proces odločanja institucije, sodišče pripominja, da tudi pri tej presoji velja princip, da je treba omejitev ustavne človekove pravice do dostopa do informacij javnega značaja v primeru konflikta z interesom državnega organa razlagati ozko, vendar ne tako ozko, da legitimen interes državnega organa povsem zvodeni. Zato je treba pri presoji v obzir vzeti vse okoliščine primera in upoštevati tudi, da ima posredovanje dokumenta kot informacije javnega značaja za posledico, da ga lahko zahteva katerakoli oseba, v primeru najmanj treh zahtev pa ga je organ tudi dolžan posredovati v svetovni splet (6. točka prvega odstavka 10. člena ZDIJZ). Ko se, kot v obravnavanem primeru, zatrjuje, da bo razkritje dokumenta o shemi podatkovne baze ogrozilo varnost informacijskega sistema, ki je glede na ugotovitve upravnega postopka ključen za poslovanje in s tem delovanje (ne le) Ministrstva (ampak tudi ostalih uporabnikov sistema), od Ministrstva ni mogoče zahtevati zagotovila, da bo dejansko prišlo do vdora v informacijski sistem in vseh zatrjevanih negativnih posledic. Z dokaznim standardom onkraj dvoma mora biti izkazana stvarna, resnična grožnja varnosti informacijskega sistema. V tem pogledu pa je po presoji sodišča dejansko stanje, potrebno za ugotovitev obstoja izjeme po 11. točki prvega odstavka 6. člena ZDIJZ, ostalo nepopolno ugotovljeno.

Kot izhaja iz odločbe Pooblaščenca, je ta, glede na navedbe Ministrstva v predhodnem postopku, izvedencu med drugim postavil vprašanje, ali bi razkritje strukture podatkovne baze informacijskega sistema MFERAC lahko omogočilo posamezniku, da bi dostopal do baze ali do samega sistema in izkoristil varnostne luknje s kakšnimi naprednimi orodji za prisluškovanje ter tako prišel do morebitnih varovanih podatkov oziroma povzročil materialno škodo, npr. z iniciiranjem SQL stavkov, ter na kakšen način bi posameznik to lahko storil. V izvedenskem mnenju, ki se nahaja v upravnem spisu in katerega vsebina je povzeta v odločbi Pooblaščenca, je izvedenec na to vprašanje odgovoril, da skrivanje strukture podatkovne baze temelji na pristopu „varnost s skrivanjem“, ki je v informatiki dobro poznan, enotno strokovno stališče pa je, da varnost informacijskega sistema ne bi smela temeljiti na skrivnosti implementacije posameznih komponent sistema. Prej nasprotno, odprto-kodni izdelki in algoritmi prikrivanja (šifriranja) kažejo, da prav razkrivanje podrobnosti delovanja in dosledna skrb za varnost dajeta najboljši rezultat. Vrivanje je po ugotovitvah priznanega mednarodnega združenja OWASP najbolj pogosta varnostna ranljivost v programski opremi, zato bi se je morali zavedati vsi razvijalci programske opreme. Izvedenec ni podal pojasnil, kako se izvaja vrivanje npr. s SQL stavki, saj meni, da je varen informacijski sistem izdelan tako, da vrivanja ne omogoča, tudi če napadalec pozna strukturo podatkovne baze. Samo poznavanje strukture podatkovne baze tako ne bi smelo omogočiti posamezniku, da dostopa do podatkovne baze in izkoristi varnostne luknje, saj bi to, če bi bilo možno, pomenilo, da je informacijski sistem pomanjkljivo varovan zaradi neustreznega upravljanja varnosti informacijskega sistema, neustreznega razvoja programske opreme, ki ne upošteva varnostnih vidikov razvoja, ter neustrezne in nezadostne izvedbe varovanja informacijskega sistema. Glede na navedeno mnenje izvedenca je Pooblaščenec zaključil, da razkritje informacij o strukturi baze ne bi smelo pomeniti varnostne grožnje organu, ter posledično, da ni podan obstoj motenj in s tem izjeme iz 11. točke prvega odstavka 6. člena ZDIJZ. Pri tem pa je po presoji sodišča prišlo do zmotne oziroma nepopolne ugotovitve dejanskega stanja. Za odločitev o obstoju obravnavane izjeme namreč ne zadošča oziroma ni relevantna hipotetična ugotovitev, da poznavanje strukture podatkovne baze posamezniku ne bi smelo omogočiti dostopa do baze. Povedano drugače, izvedenec in Pooblaščenec se ne bi smela koncentrirati na ugotavljanje, kakšne bi morale biti strokovno idealne rešitve varovanja informacijskega sistema MFERAC, ampak kako je ta informacijski sistem dejansko varovan oziroma kakšen je pomen poznavanja strukture podatkovne baze za nastanek zatrjevanih škodljivih posledic glede na dejanske varnostne rešitve informacijskega sistema.

V tem pogledu pa tudi tožeča stranka v tožbi izpostavlja relevantne ugovore, ko argumentira, da je podatkovni slovar del dokumentacije sistema MFERAC, ki je zaradi celovitega zagotavljanja varnosti sistema ni dovoljeno posredovati javnosti. Ker je sodišče te tožbene ugovore že povzelo (7. točka obrazložitve), jih na tem mestu ne ponavlja v celoti. Kot posebej pomembno izpostavlja sklicevanje tožeče stranke na mednarodna standarda ISO/IEC 27001 in 27002 ter Priporočila informacijske varnostne politike javne uprave. Standard ISO/IEC 27002, točka 10.7.4, in Priporočila upravljavcu informacijskega sistema nalagajo dolžnost varovanja podatkov v zvezi z informacijskim sistemom, vključno s sistemsko dokumentacijo (kot je tudi podatkovni slovar sistema MFERAC), ki (lahko) vsebuje občutljive informacije, kot so opisi aplikacijskih procesov, postopkov, struktur podatkov, pravice dostopa do podatkov ipd. Dostop do informacijskih sistemov in njihovih delov smejo imeti le osebe, ki so do tega upravičene, za to pooblaščene in ustrezno usposobljene (41. člen Priporočil); zagotovljeni morajo biti vsi potrebni varnostni mehanizmi, ki nepooblaščenim osebam onemogočajo dostop do razvojnega okolja in dokumentacije (110. člen Priporočil).

Sodišče teh navedb tožeče stranke, čeprav jih Ministrstvo tako konkretno v upravnem postopku ni podalo (ves čas se je sicer sklicevalo na izjemo po 11. točki prvega odstavka 6. člena ZDIJZ, vendar manj obrazloženo), ne more zavrniti kot neupoštevnih tožbenih novot v smislu tretjega odstavka 20. člena ZUS-1. Pri vprašanju uporabe mednarodnih standardov gre namreč za pravila stroke, ki bi jih moral izvedenec kot strokovnjak že sam upoštevati oziroma bi se moral obrazloženo opredeliti do njihove relevantnosti za konkretni primer; sicer gre za pomanjkljivo mnenje, kar od organa, ki vodi postopek, zahteva postopanje po 196. členu ZUP (ponovno zaslišanje izvedenca zaradi dopolnitve izvedenskega mnenja, ponovitev dokazovanja z istim ali drugim izvedencem itn.). Glede Priporočil pa je treba povedati, da je njihova uporaba predpisana z Uredbo o upravnem poslovanju, sprejeto na podlagi zakona (Zakona o državni upravi oziroma ZUP), kar pomeni, da pri teh navedbah tožeče stranke ne gre za zgolj dejanske okoliščine, ampak se te prepletajo z vprašanji uporabe prava, ki jih prekluzija ne zadane. V skladu s prvim odstavkom 80. člena Uredbe so Priporočila pri predpisovanju varnostne politike in postopkov ter vzpostavljanju sistema upravljanja z informacijsko varnostjo dolžni upoštevati vsi organi in zato niso mogla biti neznana niti Pooblaščencu. Kolikor se ta o vsebinski relevantnosti zahtev, ki izhajajo iz Priporočil, ni izrekel zato, ker gre za preplet pravnih in dejanskih okoliščin strokovne narave, bi moral od izvedenca pridobiti ustrezna pojasnila dejanske narave in šele nato napraviti pravni zaključek.

Ker glede na povedano na podlagi dejanskega stanja, ugotovljenega v upravnem postopku, ni moč rešiti spora, saj so bila dejstva v bistvenih točkah nepopolno ugotovljena in zato tudi pravilnosti uporabe materialnega prava ni mogoče preizkusiti, je sodišče na podlagi 2. in 4. točke prvega odstavka 64. člena ZUS-1 tožbi ugodilo ter odločbo Pooblaščenca v izpodbijani 1. točki izreka odpravilo; v relevantnem delu, to je v delu, v katerem je bila zavrnjena zahteva prosilca za posredovanje načrta podatkovne baze sistema MFERAC, pa je odpravilo tudi prvostopenjsko odločbo in zadevo v tem delu vrnilo v ponovni postopek Ministrstvu. Pri takšni odločitvi, ki z odpravo tudi prvostopenjske odločbe odstopa od ustaljene prakse v upravnih sporih glede dostopa do informacij javnega značaja, je sodišče upoštevalo vse navedene okoliščine konkretnega primera. V primeru vrnitve zadeve v ponovno odločanje Pooblaščencu bi namreč ta moral v odpravljenem delu ponovno izpeljati pritožbeni postopek in pri tem dopolniti dokazovanje z izvedencem, kar bi poleg ponovnega dela za drugostopenjski organ pomenilo tudi dodatne stroške za prosilca. To pa po presoji sodišča ne bi bilo upravičeno, saj ni mogoče spregledati, da je k takšnemu izidu postopka prispevala tudi tožeča stranka s tem, ko je določene relevantne ugovore podala šele v tožbi. Glede na povedano je sodišče v delu, na katerega nanaša 1. točka izreka odločbe Pooblaščenca, odpravilo tudi prvostopenjsko odločbo in zadevo v tem delu vrnilo Ministrstvu vrnilo v ponovni postopek. S tem je na Ministrstvu breme, da ponovno odloči o zahtevi prosilca za dostop do informacij javnega značaja v delu, ki se nanaša na posredovanje dokumentacije o shemi podatkovne baze sistema MFERAC, in to obrazloženo, z argumentirano navedbo vseh relevantnih dejanskih okoliščin, tudi tistih strokovne narave, ter pravnih razlogov. Pred izdajo odločbe mora prvostopenjski organ prosilca seznaniti in mu dati možnost, da se izjavi o vseh dejstvih in okoliščinah, pomembnih za odločitev, za katere ne potrebuje vnaprejšnjega vpogleda v dokumentacijo, katere razkritje zahteva. Sodišče opozarja, da odločitev, pri kateri navedene zahteve ne bodo spoštovane, sodnega preizkusa ne more prestati.

Obrazložitev k II. točki izreka: Po tretjem odstavku 25. člena ZUS-1 se tožeči stranki v primeru, če je sodišče tožbi ugodilo in izpodbijani akt odpravilo, glede na opravljena procesna dejanja in način obravnavanja zadeve v upravnem sporu prisodi pavšalni znesek povračila stroškov skladno s pravilnikom, ki ga izda minister za pravosodje; prisojeni znesek po tem določilu plača tožena stranka. Vendar pa ZUS-1 sam ne ureja specifične situacije, ko je tožeča stranka hkrati tudi organ, ki je odločal v upravnem postopku na prvi stopnji, in zato posebej tudi ne ureja povrnitve stroškov v takšnem primeru. Poleg tega je treba upoštevati, da je sodišče v obravnavanem primeru tožbi sicer ugodilo in odpravilo odločbo Pooblaščenca v izpodbijani 1. točki izreka, hkrati pa je v relevantnem delu odpravilo tudi prvostopenjsko odločbo Ministrstva, torej tožeče stranke. Zaradi tega ne bi bilo v skladu z načelom pravne države, ki lahko zajema tudi načelo pravičnosti, če bi tožena stranka morala poravnati stroške postopka tožeči stranki. Pri odločitvi o stroških postopka je zato sodišče, upoštevaje opisane specifike tega upravnega spora, ob uporabi analogije z določbami prvega odstavka 25. člena ZUS-1 v zvezi z drugim odstavkom 154. člena Zakona o pravdnem postopku ter drugega odstavka 25. člena ZUS-1 odločilo, da vsaka stranka trpi svoje stroške postopka v zvezi s tem upravnim sporom.