Jedro

S tem, ko je toženka v postopek vključila AJPES, ga pozivala in pridobila odgovor, na katerega je oprla izpodbijano odločbo, tožniku pa ni omogočila pravice do izjave, je po presoji sodišča kršila 9. člen ZUP.

Toženka bi morala za vsakega od prekritih podatkov obrazložiti, zakaj bi njegovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti AJPES.

Izrek

I. Tožbi se ugodi, odločba Informacijskega pooblaščenca številka 090-112/2018/6 z dne 19. 6. 2018 se odpravi in se zadeva vrne toženi stranki v ponoven postopek.

II. Tožena stranka je dolžna povrniti tožeči stranki stroške postopka v znesku 657,58 EUR v roku 15 dni, po preteku tega roka z zakonskimi zamudnimi obrestmi do prenehanja obveznosti.

III. Prizadeta stranka AJPES nosi sama svoje stroške tega postopka.

Obrazložitev

_O izpodbijani odločbi:_

1. Toženka je na podlagi 22. člena Zakon o odstopu do informacij javnega značaja (v nadaljevanju ZDIJZ) z izpodbijano odločbo delno ugodila zahtevi tožnika z dne 27. 5. 2018 in odločila, da se tožniku iz inšpekcijskega spisa št. 0612-24/2017 posredujeta fotokopiji dveh dokumentov in sicer:

(1) dokument št. 0612-24/2017 z dne 10. 2. 2017 - zapisnik, pri čemer se v dokumentu prekrije; - na strani 1 pod navzoči: podatke o posameznikih, fizičnih osebah, ki so bili navzoči na ogledu in niso javni uslužbenci; - na strani 2 v tretjem, četrtem in petem odstavku točke 1. ugotovitve: podatek o posamezniku, fizični osebi, ki je v postopku nastopala kot priča in ni javni uslužbenec; - na strani 2 v tretjem odstavku točke 1. Ugotovitve: ime aplikacije, v kateri so bile zaznane ranljivosti; - na strani 3: ime aplikacije, v kateri so bile zaznane ranljivosti, podatek o terminih izvajanja varnostnih posodobitev, podatek o časovni zaznavi pomanjkljivosti, način delovanja aplikacije; - na strani 4 v prvem in drugem odstavku: podatki o posameznikih, katerih osebni podatki so bili ogroženi; - na strani 4 v prvem in četrtem odstavku: ime aplikacije, v kateri so bile zaznane ranljivosti; - na strani 4 v petem, šestem, sedmem in osmem odstavku: podatek o časovni dinamiki shranjevanja podatkov in podatke o točnih „hash“ vrednosti; - na strani 5 v prvem odstavku: podatke o točni „hash“ vrednosti; - na strani 5 v tretjem odstavku: podatek o terminih izvajanja varnostnih posodobitev in naziv kode; - na strani 5 v točki 2: ukrepi za odpravo ranljivosti: podatek o o posamezniku, fizični osebi, ki je v postopku nastopala kot priča in ni javni uslužbenec, ime aplikacije, v kateri so bile zaznane ranljivosti, podatek o časovni dinamiki načrtovanih varnostnih ukrepov, naziv kode; - na strani 6: podatek o posamezniku, fizični osebi, ki je v postopku nastopala kot priča in ni javni uslužbenec, podatek o ugotovljenih ranljivostih sistema, ime aplikacije, v kateri so bile zaznane ranljivosti, podatek o časovni dinamiki načrtovanih varnostnih ukrepov in podatek o nameravanem načinu odprave ranljivosti sistema (v nadaljevanju Del zapisnika).

(2) dokument št. 0612-24/2017/33 z dne 4. 4. 2018 - sklep, pri čemer se v dokumentu prekrije: - na strani 2: ime aplikacije, v kateri so bile zaznane ranljivosti, podatek o časovni zaznavi pomanjkljivosti in dinamiki varnostnih ukrepov; - na strani 3: ime aplikacije, v kateri so bile zaznane ranljivosti, način delovanja aplikacije; - na strani 4: ime aplikacije, v kateri so bile zaznane ranljivosti, tip zaznane ranljivosti, naziv kode podatke o načinu delovanja in načinu odprave pomanjkljivosti delovanja sistema, časovna dinamika izvedba varnostnih ukrepov; - na strani 5: ime aplikacije, v kateri so bile zaznane ranljivosti, tip zaznane ranljivosti, podatek o časovni zaznavi, pomanjkljivosti, podatki o načinu delovanja in načinu odprave pomanjkljivosti delovanja sistema, časovna dinamika izvedba varnostnih ukrepov; - na strani 6: podatek o časovni dinamiki shranjevanja podatkov, podatek o časovni dinamiki in vrsti izvedenih varnostnih ukrepov ter rezultat izvedenih ukrepov, ime aplikacije, v kateri so bile zaznane ranljivosti, tip zaznane ranljivosti; - na strani 7: podatek o časovni dinamiki in vrsti izvedenih varnostnih ukrepov ter rezultati izvedenih ukrepov, ime aplikacije, v kateri so bile zaznane ranljivosti, tip zaznane ranljivosti, časovna dinamika in potek zaznave ugotovljenih pomanjkljivosti; - na strani 8 zgoraj: ime aplikacije, v kateri so bile zaznane ranljivosti, tip zaznane ranljivosti, časovna dinamika in potek zaznave ugotovljenih pomanjkljivosti, podatki o posameznikih, katerih osebni podatki so bili ogroženi; - na strani 8 spodaj in 9 zgoraj pod izvedeni korektivni in preventivni ukrepi: podatek o časovni dinamiki, vrsti in načinu izvedenih varnostnih ukrepov ter predvideni rezultati izvedenih ukrepov, ime aplikacije v kateri so bile zaznane ranljivosti; - na strani 9 spodaj pod ukrepi v delu oz. planirani ukrepi: ime aplikacije, v kateri so bile zaznane ranljivosti, podatek o časovni dinamiki, vrsti in načinu predvidenih ukrepov za odpravo pomanjkljivosti; - na strani 10: ime aplikacije, v kateri so bile zaznane ranljivosti in tip ranljivosti, način odprave ranljivosti; - na strani 11: ime aplikacije, v kateri so bile zaznane ranljivosti, tip ranljivosti, način odprave ranljivosti in sprejeti ukrepi; - na strani 12 pod dodatni in varnostni ukrepi: ime aplikacije, v kateri so bile zaznane ranljivosti, seznam načrtovanih izvedenih, prirejenih, preventivnih ukrepov; - na strani 13: časovna dinamika, tip ugotovljenih pomanjkljivosti ter način njihove odprave. (v nadaljevanju Del sklepa) (vse 1. točka izreka izpodbijane odločbe).

2. Toženka je na podlagi 11. točke prvega odstavka 6. člena ZDIJZ zaradi izjeme notranjega delovanja in varovanja osebnih podatkov v preostalem delu zavrnila tožnikovo zahtevo (2. točka izreka) in ugotovila, da posebni stroški v postopku niso nastali (3. točka izreka).

3. Iz obrazložitve izpodbijane odločbe izhaja, da je toženka 27. 5. 2018 prejela tožnikovo zahtevo za posredovanje anonimiziranih inšpekcijskih zapisnikov in zaključnega dokumenta inšpekcijskega nadzora nad AJPES-om (v nadaljevanju Zahteva). Po ugotovitvi, da se Zahteva nanaša na zapisnik in sklep spisa št. 0612-24/2017 v inšpekcijskem postopku zoper AJPES in da dokumenti vsebujejo podatke o delovanju informacijskega sistem AJPES, je toženka na podlagi 43. in 44. člena Zakona o splošnem upravnem postopku (v nadaljevanju ZUP) pozvala AJPES, da se izjavi glede posredovanja zahtevanih dokumentov. Iz obrazložitve izhaja, da je AJPES odgovoril 13. 6. 2018, 16. 6. 2018 in z dopisom št. 061-1/17-23 z dne 13. 6. 2018, da je v določenem delu zahtevanih dokumentov podana izjema po 11. točki prvega odstavka 6. člena ZDIJZ, ker se Zahteva nanaša na dokumente v zvezi z notranjim delovanjem organa in bi razkritje povzročilo motnjo pri delovanju oz. dejavnosti organa. Toženka je upoštevaje mnenje AJPESA odločila, da se dokumenta posredujeta z omejitvijo, da se prekrijejo podatki, ki predstavljajo izjemo notranjega delovanja in podatki, pri katerih gre za varovane osebne podatke. Toženka je ugotovila, da so v zahtevanih dokumentih tudi tehnični podatki o delovanju informacijskega sistema AJPES, ugotovljenih pomanjkljivostih tega sistema, načrtovanih ukrepih za odpravo pomanjkljivosti, predvideni časovni dinamiki in predvidenih rezultatih teh ukrepov. Zahtevana dokumenta vsebujeta po oceni toženke podatke, ki so del interne politike AJPES, zato gre za dokumenta, ki sta nastala v zvezi z notranjim delovanjem organa. Toženka je ugotovila, da gre za podatke, ki predstavljajo konkretne rešitve in opise delovanja informacijskega sistema zavezanca, ugotovljene pomanjkljivosti tega sistema, načrtovane ukrepe za odpravo teh pomanjkljivosti, predvideno časovno dinamiko in predvidene rezultate teh ukrepov, ki so del notranje strategije organa, kako zagotoviti varnost informacijskega sistema in kakšne konkretne ukrepe je in bo organ sprejel v ta namen. Če bi predmetni podatki v celoti postali javno dostopni, bi se po oceni toženke povečala potencialna ogroženost informacijskega sistema AJPES, ki po njeni oceni ni zanemarljiva, glede na to, da ravno iz dokumentov, ki so predmet tožnikove zahteve, izhaja, da je informacijski sitem AJEPS že bil tarča sistematičnih napadov.

4. Toženka se je sklicevala tudi na sklep Vrhovnega sodišča RS I U 1613/2011-28 z dne 1. 11. 2011 in tam zavzeto stališče, da so dokumenti v zvezi z varnostno politiko organa lahko varovani z izjemo notranjega delovanja. Po oceni toženke gre za bistveno podoben primer, saj so predmet tožnikove zahteve podatki, povezani z varnostnim sistemom AJPES. Menila je, da bi bile motnje, ki bi nastale pri delovanju organa zaradi razkritja informacij, večje od pravice javnosti, da se seznani z obravnavanimi informacijami.

5. Iz obrazložitve izhaja, da je toženka pri svoji odločitvi sledila AJPES in zaradi izjeme notranjega delovanja Zahtevo delno zavrnila v delu, ki se nanaša na: ime aplikacije, v kateri so bile zaznane ranljivosti; podatek o terminih izvajanja varnostnih posodobitev; podatek o časovni zaznavi pomanjkljivosti; tip zaznane ranljivosti; način delovanja aplikacije; podatek o časovni dinamiki shranjevanja podatkov in podatke o točni „hash“ vrednosti; naziv kode; podatek o ugotovljenih ranljivostih sistema; podatek o nameravanem načinu odprave ranljivosti sistema in dinamiki varnostnih ukrepov; podatek o časovni dinamiki, vrsti in načinu izvedenih varnostnih ukrepov ter predvidenih rezultatih izvedenih ukrepov; seznam načrtovanih in izvedenih preventivnih ukrepov; časovna dinamika; tip ugotovljenih pomanjkljivosti ter način njihove odprave. Po oceni toženke gre za podatke, ki so del notranje strategije AJPES za zagotovitev varnosti informacijskega sistema in sprejetje s tem povezanih konkretnih ukrepov. Po oceni toženke bi se v primeru, ko bi podatki v celoti postali javno dostopni, povečala potencialna ogroženost informacijskega sistema AJPES, ki ni zanemarljiva, glede na to, da ravno iz zahtevanih dokumentov izhaja, da je bil že tarča sistemskih napadov.

6. Iz obrazložitve še izhaja, da je toženka ugotovila, da so v dokumentih osebni podatki javnih uslužbencev, zaposlenih pri Informacijskem pooblaščencu in AJPES ter osebni podatki o postopku imenovanega izvedenca, ki na podlagi 5. točke 6. člena Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju Splošna uredba) niso varovani, ker so v zvezi z opravljanjem delovnega razmerja oz. v zvezi z opravljanjem javne funkcije. Glede drugih osebnih podatkov (podatki o posameznikih, fizičnih osebah, ki so bile navzoče na ogledu in niso javni uslužbenci in podatki o posameznikih, katerih osebni podatki so bili ogroženi), ki so v zahtevanih dokumentih, je toženka ugotovila, da gre za varovane osebne podatke, za posredovanje katerih ni pravne podlage. Zato je zavrnila Zahtevo tudi v tem delu.

_Povzetek tožnikovih navedb:_

7. Tožnik izpodbija odločbo iz vseh tožbenih razlogov v 27. členu Zakona o upravnem sporu (v nadaljevanju ZUS-1). Predlaga, da sodišče odloči v sporu polne jurisdikcije in da izpodbijano odločbo odpravi ter Zahtevi v celoti ugodi in tožniku posreduje zahtevane podatke, razen varovanih osebnih podatkov ter podatkov o trenutno veljavnih varnostnih ukrepih in politikah. Tožnik zahteva tudi povrnitev stroškov postopka, alternativno pa odpravo izpodbijane odločbe in ponoven postopek pri toženki.

8. Tožnik pojasnjuje, da ne izpodbija odločbe v delu, ki se nanaša na osebne podatke, saj je že v osnovnem zahtevku zaprosil za ustrezno anonimizirane dokumente in v delu, v katerem se nanaša na varnostne načrte in politike, ki so še vedno v veljavi (npr. preventivni ukrepi s strani 12). Poudarja, da sploh ni zahteval osebnih podatkov, ki so predmet izpodbijane odločbe.

9. Toženki očita, da je kršila drugi in tretji odstavek 9. člena ZUP, ker tožnika ni seznanila z navedbami AJPES in mu omogočila, da se o njih izjavi. Tožnik uveljavlja tudi bistveno kršitev pravil postopka v zvezi s 154. členom ZUP, ker bi morala toženka, glede na to, da je v postopek pritegnila AJPES, opraviti ustno obravnavo. Toženka vse do vročitve odločbe tožnika sploh ni seznanila z obstojem dodatne stranke v postopku. Ta kršitev predstavlja bistveno kršitev določb postopka, saj je bila na tak način tožniku odvzeta možnost izjave v postopku, sodelovanje in učinkovitega varstva pravic. S tem je bilo po tožnikovem mnenju tudi nepopolno in zmotno ugotovljeno dejansko stanje.

10. Tožnik izpostavlja, da ni podlage za stališče, da je regulatorni postopek samostojnega in neodvisnega državnega nadzornika notranje delovanje nadziranca. Opozarja, da iz odločbe izhaja, da je inšpekcijski postopek ustavljen, iz česar sledi, da so odpravljene vse v zapisniku in odločbi omenjene pomanjkljivosti. Nerazumljivo je po mnenju tožnika zatrjevanje toženke, da bi podatek o očitno odpravljeni pomanjkljivosti lahko motil notranje delovanje organa, glede na to, da je inšpekcijski postopek zaključil. 11. Tožnik izpostavlja, da toženka ni z ničemer utemeljila svoje ugotovitve, da bi razkritje imena aplikacije, v kateri so bile ugotovljene pomanjkljivosti, lahko pomenilo motnjo za notranje delovanje, zato izpodbijane odločbe v tem delu ni mogoče preizkusiti. Izpodbijane odločbe se po mnenju tožnika ne da preizkusiti niti v delu skrivanja podatkov o časovni zaznavi pomanjkljivosti in dinamiki izvedenih popravkov, ker organ odločbe v tem delu ni obrazložil. Tožnik poudarja, da gre za podatke o odpravljeni varnostni pomanjkljivosti, ki razen razkrivanja morebitnih nepravilnosti in malomarnega dela ne more imeti škodljivih posledic za AJPES. Po mnenju tožnika ni utemeljeno niti skrivanje podatkov o časovni dinamiki varnostnih ukrepov in podatka o nameravanem načinu odprave ranljivosti sistema. Glede na to, da je postopek ustavljen, sistem očitno ni več ranljiv, varnostni ukrepi pa so bili izvedeni. Tožnik še navaja, da ni obrazloženo niti skrivanje podatkov o tipu ugotovljenih pomanjkljivosti in načinu njene odprave, saj je bilo storjeno med inšpekcijskim postopkom, kar pomeni, da njeno razkritje za organ oz. stranskega intervenienta ne more imeti škodljivih posledic. Toženka ni pojasnila, kako bi podatki o odpravljeni varnostni pomanjkljivosti (po tem, ko je bila enkrat uspešno odpravljena), lahko kakorkoli vplivali na delovanje organa.

12. Tožnik v vlogah v bistvenem še izpostavlja, da ima odsotnost pritožbenega postopka v povezavi z bistvenimi kršitvami postopka za posledico arbitrarnost izdane odločbe. Izpostavlja, da je toženka pozvala AJPES naj potrdi, da obstajajo domnevni zadržki glede izročitve dokumenta in nato odločila na podlagi pričakovanega odgovora AJPES, iz česar izhaja, da je pravzaprav protipravno delegirala svoje zakonske dolžnosti.

13. Toženkino sklicevanje na 11. in 12. člen ZInfP je po oceni tožnika neutemeljeno. Glede na to, da je toženka določene okoliščine vključila v odločbo, ki jo je vročila tožniku, ne gre za omejitve iz 12. člena ZInfP.

14. Neutemeljena in neresnična je po mnenju tožnika navedba toženke, da domnevno zaznavanje in dokumentiranje ranljivosti s strani AJPES še vedno ni bilo v celoti odpravljeno. Če je namreč toženki znano, da ena izmed največjih zbirk osebnih podatkov v državi ni ustrezno zavarovana, to pomeni, da bi bila kot inšpekcijski organ dolžna ukrepati. Tožnik izpostavlja, da mu toženka še vedno ni izročila zahtevanih dokumentov v skladu z lastno odločbo.

15. Tožnik izpostavlja, da v odločbi ni razlogov o tem, kako naj bi ime aplikacije, v kateri so bila odkrite in odpravljene ranljivosti, predstavljalo podatke o tehničnem delovanju informacijskega sistema AJPES, in kako naj bi podatki o zaznanih in odpravljenih ranljivostih, predstavljali podatke o tehničnem delovanju informacijskega sistema zavezanca. Enako velja tudi za podatke o zaznanih pomanjkljivostih in njihovi odpravi. Nejasno naj bi bilo, kako in na kakšni podlagi je predstavila rezultate enostranskih zgoščevalnih funkcij (hash) kot varovan podatek. Toženka ne pojasni, kako naj bi podatki o odpravljenih varnostnih pomanjkljivosti imeli kakršen koli negativen vpliv na delovanje AJPES, razen morebitne javne kritike delovanja AJPES.

16. Tožnik je v vlogi še navedel, da gre pri navedbah toženke za ned0voljeno navajanje novih dejstev, skladno z 20. členom ZUS-1. AJPES je imel v osnovnem postopku možnost navajanja dejstev in predlaganja dokazov. Vztraja, da AJPES ni specificiral dejanske podlage za uporabo zatrjevane izjeme in ni konkretiziral svojih trditev.

17. Tožnik še navaja, če v postopku niso bile zaznane pomanjkljivosti, temveč zgolj manjše ranljivosti, ki naj bi bile že odpravljene, potem ni mogoče trditi, da gre za odstop od običajnega delovanja sistema (saj pomanjkljivosti po navedbah AJPES ni bilo, kar pomeni, da je šlo za normalno delovanje sistema). Argumenta AJPES, da gre za manjšo, že odpravljeno ranljivost domnevno nepomembne narave, ni mogoče uskladiti z navedbami AJPES, da bi razkritje le-te povzročilo motnje pri normalnem delovanju.

18. Tožnik še ugovarja, da je AJPES stroške priglasil nepravilno. Skladno s tarifno številko 30 Odvetniške tarife, je namreč vrednost druge in nadaljnje vloge v postopku 50 % od vrednosti v neocenljivih zadevah (500 točk), kar znaša 250 in ne 600 točk. _Povzetek navedb toženke:_

19. Toženka navaja, da je zoper odločitev Informacijskega pooblaščenca dovoljeno le sodno varstvo. Drži tožnikova navedba, da ga ni seznanila z navedbami AJPES in da v zadevi ni opravila ustne obravnave, vendar meni, da tega ni bila dolžna glede na naravo postopka. Načelo zaslišanja stranke (9. člen ZUP) in pravice stranke, da se izjavi o dejstvih in okoliščinah, sta po mnenju toženke omejena s specialnimi določbami 11. in 12. člena Zakona o informacijskem pooblaščencu (v nadaljevanju ZInfP). Toženka meni, da je na navedeni podlagi prosilcem v postopku po ZDIJZ v delu, ki se nanaša na vsebino zahtevane informacije, omejena pravica, da se izrečejo o dejstvih in dokazih, na katere je organ oprl izpodbijano odločbo. Po mnenju toženke ni bilo mogoče posredovati navedb AJPES, ker so se neposredno nanašale na vsebino dokumentov, ki so bili predmet presoje v postopku izdaje izpodbijane odločbe. Že na podlagi navedb AJPES bi se tožnik po mnenju toženke lahko seznanil z vsebino zahtevane informacije, kar pa izrecno omejuje 12. člen ZInfP.

20. Toženka zavrača tožnikove navedbe, da naj bi kot izjemo notranjega delovanja razglasila regulatorni postopek samostojnega in neodvisnega državnega nadzornika. Iz izpodbijane odločbe izhaja (stran 3), da je toženka kot notranje delovanje varovala le podatke o tehničnih podatkih delovanja informacijskega sistema AJPES, v preostalem delu pa je tožniku dostop do zahtevanih dokumentov dovolila. V delu, ki se nanaša na ugotovljene kršitve in zaključke inšpekcijskega postopka, je bil tožniku dostop do zahtevanih dokumentov v celoti odobren.

21. Toženka še navaja, da je bil zahtevan dokument predmet konkretnega postopka in je potekal v prostorih AJPES na njegovi informacijski infrastrukturi in ob sodelovanju njegovih zaposlenih in zunanjih izvajalcev. Navedbe zaslišanih prič, dejstva in ugotovitve iz predmetnega ogleda se nanašajo na interno delovanje AJPES, ki vključuje opis načina delovanja informacijskega sistema AJPES, njegove ranljivosti in ukrepe, ki jih bo v zvezi s tem AJPES izvedel in ki še niso bile v celoti izvedeni. Če bi bili ti podatki v celoti dostopni javnosti, bi se povečala ogroženost informacijskega sistema, še posebej upoštevaje dejstvo, da ravno iz dokumentov, ki so predmet Zahteve izhaja, da je informacijski sistem AJPES že bil tarča sistematičnih kibernetskih napadov, zaradi katerih so bili posledično ogroženi vsi osebni podatki.

22. Toženka vztraja, da gre pri podatkih, do katerih dostop je bil tožniku omejen, za podrobne informacije o vseh vidikih in tehničnem načinu delovanja informacijskega sistema AJPES in za podatke, ki kažejo na sistemske rešitve in varnostno politiko ter sprejete ukrepe, od katerih so nekateri daljnosežne narave in še niso v celoti izvedeni in zaključeni. Zato ne drži navedba tožnika, da se ugotovitve v celoti nanašajo na že odpravljene pomanjkljivosti in da zato z razkritjem teh podatkov naj ne bi nastala nobena škoda. Toženka se sklicuje tudi na sklep VS RS I U 1613/2011-28 z dne 1. 11. 2011, v katerem je Vrhovno sodišče RS že presodilo, da Pravilnik o zavarovanju podatkov, ki je bistveno bolj abstraktne, splošne narave in je vseboval bistveno manj podatkov o dejanskem delovanju sistema, kot jih vsebujejo zahtevani dokumenti, že predstavlja izjemo notranjega delovanja, zato so zahtevani dokumenti v tem primeru nedvomno še bolj izjema notranjega delovanja.

_Navedbe prizadete stranke_

23. AJPES predlaga zavrnitev tožbe in zahteva povrnitev stroškov. Prereka tožbene navedbe in zanika, da bi razglasil svoj nadzorni postopek za notranje delovanje nadziranca. Poudarja, da sta zahtevana dokumenta nastala v inšpekcijskem nadzoru nad nadzirancem, ki je bil v konkretnem primeru izveden v zvezi z notranjim delovanjem oz. dejavnostjo AJPES, ker se nanaša na delovanje informacijskega sistema in aplikacije, s katerim upravlja AJPES. Poudarja, da je toženka zavrnila dostop le do tistih informacij v zahtevanih dokumentih, ki se nanašajo na notranje delovanje AJPES. Sklicujoč na točko 14 sodbe Upravnega sodišča RS I U 1026/2014 z dne 2. 9. 2015 opozarja, da je AJPES organ zavezanec po ZDIJZ, zato se lahko sklicuje na izjemo notranjega delovanja po 11. točki prvega odstavka 6. člena ZDIJZ. Poudarja, da je osnovna dejavnost zbiranje in pripravljanje podatkov ter vodenje javno pravnih evidenc po zakonskem pooblastilu z nalogo, da zagotavlja dostop javnosti do javnih delov in zavaruje ter prepreči dostop do nejavnih delov. Vsak informacijski sistem ima ranljivosti, ki prinašajo različne stopnje tveganj za zlonamern vdor. Tveganje je z njihovim prepoznavanjem in različnimi zaščitnimi ukrepi mogoče bolj ali manj učinkovito obvladovati, vendar teoretično nikoli ni mogoče absolutno preprečiti vdora. Informacijo o informacijskem sistemu na aplikacijah in njihovih ranljivostih, časovni kontekst ranljivosti in tveganj, ukrepi za zmanjševanje ranljivosti in tveganj pa so informacije, ki olajšajo vdor in s tem bistveno povečuje ranljivost informacijskega sistema.

24. S sklicevanjem na sklep X Ips 320/2010 z dne 1. 9. 2011 izpostavlja, da je vrhovno sodišče stopnjo ogroženosti za notranje delovanje oz. dejavnost organa že opredelilo kot vsak pojav, ki ni usklajen s pravilnim, normalnim delovanjem in torej ni nobene potrebe, da bi AJPES ali toženka izkazala oz. utemeljila, da bi z razkritjem zahtevanih dokumentov lahko nastala škoda ali druge škodljive posledice. AJPES bi moral v primeru razkritja zahtevanih dokumentov ponovno oceniti tveganje in ustreznost izvedenih in predvidenih ukrepov za obvladovanje teh tveganj upoštevaje predpostavko, da je javnost s temi podatki seznanjena. To bi za AJPES predstavljalo ne le motnje pri njegovem normalnem delovanju, ampak veliko dodatno breme in stroške. Pri tem po mnenju AJPES ni bistveno, ali so bile ranljivosti in tveganja obvladani oz. ukrepi že izvedeni, ker je tudi iz podatkov preteklih ranljivosti sistema mogoče sklepati na nove ranljivosti, kar povzroči nova ali dodatna tveganja. Zato po mnenju AJPES za presojo v konkretnem primeru ni pomembno, da je postopek inšpekcijskega nadzora že ustavljen, ukrepi za obvladovanje tveganj, ki izhajajo iz preteklih ranljivosti, pa že izvedeni. AJPES še navaja, da so bile v inšpekcijskem nadzoru zaznane zgolj manjše ranljivosti, ki pa jih je že odpravil. 25. AJPES še navaja, da so dokumenti interne narave in niso namenjeni javnosti, če bi postali javno dostopni, pa bi se povečala potencialna ogroženost informacijskega sistema AJPES. Motnje, ki bi zaradi razkritja zahtevanih informacij nastale pri delovanju AJPES, bi bile večje od pravice javnosti, da se seznani z obravnavanimi informacijami.

26. AJPES še navaja, da bi se v primeru, da bi bili razkriti vsi podatki iz zapisnika in sklepa, nedvomno povečala ogroženost informacijskega sistema AJPES, kar že izkazuje resno ogroženost delovanja. Prikritih podatkov po mnenju AJPES ni mogoče obravnavati posamično, izolirano vsakega zase in ločeno od drugih. Vsak od naštetih podatkov sooblikuje podobo informacijskega sistema AJPES, njegove značilnosti in ukrepe stranskega udeleženca za zagotavljanje varnosti informacijskega sistema.

27. AJPES je na naroku še navedel, da različna poimenovanja ugotovitev iz inšpekcijskega postopka, pomanjkljivost ali ranljivost informacijskega sistema, ne spremeni dejstva, da bi razkritje celotnih dokumentov pripeljalo do motenj v delovanju AJPES.

**K I. točki izreka**

28. Sodišče je v dokaznem postopku prebralo listine strank, ki so v spisu označene kot priloga od A1 do A9, B1, B2, C1, C2 in sicer: odločba, zahteva tožnika z dne 27. 5. 2018, dopis toženke z dne 5. 6. 2018, dopis AJPES z dne 13. 6. 2018, dokument toženke z dne 14. 6. 2018, vloga tožnika z dne 22. 6. 2018, dopis toženke z dne 27. 6. 2018 in pet pooblastil. Sodišče je zavrnilo tožnikov dokazni predlog z vpogledom v vse listine toženke iz spisa št. 090-112/2018/6, ker je iz izvedenih dokazov utemeljenost tožbenih navedb dokazana in dodatno dokazovanje po presoji sodišča ni bilo potrebno.

Tožba je utemeljena.

29. V obravnavani zadevi je predmet presoje upravičenost do dostopa do dveh dokumentov, in sicer zapisnika ogleda z dne 10. 2. 2017 in sklepa z dne 4. 4. 2018 inšpekcijskega spisa št. 0612-24/2017 inšpekcijskega postopka, ki ga je toženka vodila zoper AJPES. Toženka je dostop do obeh dokumentov v delu zavrnila na podlagi 11. točke prvega odstavka 6. člena ZDIJZ, ker je ugotovila, da so prekriti podatki izjema notranjega delovanja in bi razkritje povzročil motnje pri delovanju oziroma dejavnosti AJPES.

30. Sodišče se bo najprej opredelilo do tožbenega očitka kršitve načela zaslišanja stranke iz 9. člena ZUP, ki določa, da je, preden se izda odločba, treba dati stranki možnost, da se izjavi o vseh dejstvih in okoliščinah, ki so pomembne za odločbo. Če so v postopku udeležene stranke z nasprotujočimi interesi, mora imeti vsaka stranka možnost, da se izjavi o zahtevkih in navedbah stranke z nasprotnim interesom. Organ svoje odločbe ne sme opreti na dejstva, glede katerih vsem strankam ni bila dana možnost, da se o njih izjavijo, razen v primerih, določenih z zakonom (vse 9. člen ZUP). O pisni zahtevi za dostop do informacije javnega značaja ali njeno ponovno uporabo odločajo organi v postopku, ki ga določa ZDIJZ. Za vprašanja postopka s pisno zahtevo, ki niso urejena z ZDIJZ, se uporabljajo določbe zakona, ki ureja splošni upravni postopek (vse 15. člen ZDIJZ).

31. Ni sporno, da je toženka v postopku pridobila izjave AJPES z dne 13. 6. 2018, 16. 6. 2018 in dopis št. 061-1/17-23 z dne 13. 6. 2018 (priloga A5), na katere je oprla izpodbijano odločbo. Ni sporno, da toženka tožnika v postopku pred izdajo odločbe ni seznanila o pozivu in odgovorih AJPES. S tem, ko je toženka v postopek vključila AJPES, ga pozivala in pridobila odgovor, na katerega je oprla izpodbijano odločbo, tožniku pa ni omogočila pravice do izjave, je po presoji sodišča kršila 9. člen ZUP. Neutemeljeno je namreč sklicevanje toženke, da je tožnikova pravica, da se izjavi o dejstvih in načelo zaslišanja stranke, omejena s specialnimi določbami 11. in 12. člena ZInfP. 11. člen ZInfP namreč določa, da lahko informacijski pooblaščenec opravi procesno dejanje v zahtevi za dostop do informacije javnega značaja brez prisotnosti stranke, ki zahteva dostop do informacije javnega značaja, ali osebe, ki ima v postopku enake pravice in dolžnosti kot stranka, če je to potrebno, da se pred dokončno odločitvijo Informacijskega pooblaščenca tej stranki prepreči dostop do zahtevane informacije (11. člen ZInfP). Procesno dejanje je torej na podlagi 11. člena ZInfP lahko opravljeno brez prisotnosti stranke, kar pa ne pomeni, da je lahko stranka izključena iz posameznih faz upravnega postopka in brez nenazadnje ustavno zagotovljenih procesnih kavtel. Glede na to, da je toženka na dopise AJPES oprla svojo izpodbijano odločbo, ni izpolnjen niti pogoj 11. člen ZInfP, da se stranki na ta način prepreči dostop do zahtevane informacije, ker tožnik s seznanitvijo z dopisi AJPES in dejstvom, da je AJPES vključen v postopek, očitno do zahtevane informacije niti ne bi prišel. 32. Neutemeljeno je po presoji sodišča sklicevanje toženke, da je imela podlago za kršitev tožnikove pravice do izjave v določbi 12. člena ZInfP, ki določa, da pravica strank do pregleda dokumentov v zadevah dostopa do informacij javnega značaja po določbah zakona, ki ureja splošni upravni postopek, do pravnomočnosti odločbe Informacijskega pooblaščenca, ne vključuje pregleda zahtevanega dokumenta in drugih dokumentov zadeve, iz katerih bi se dalo razbrati ali sklepati na vsebino zahtevane informacije. Ni namreč sporno, da tožnik kršitve pravice do izjave ne utemeljuje z nezmožnostjo vpogleda v zahtevane dokumente (Zapisnik in Sklep) in drugih dokumentov zadeve, iz katerih bi se dalo razbrati ali sklepati na vsebino zahtevane informacije, v smislu določbe 12. člena ZInfP. Tožnik kršitev pravice do izjave utemeljuje z dejstvom, da ni bil seznanjen z vključitvijo AJPES v postopek niti ni bil seznanjen z dopisi AJPES, na katere je v bistvenem toženka oprla svojo odločbo. Že samo dejstvo, ki ni sporno in izhaja iz izpodbijane odločbe, da je toženka oprla svojo izpodbijano odločbo na dokumente AJPES pa dokazuje, da ne gre za dokumente zadeve, iz katerih bi se dalo razbrati ali sklepati na vsebino zahtevane informacije, kot to določa 12. člen ZInfP, zato omejitev tožnikove pravice do izjave s sklicevanjem na 12. člen ZInfP v konkretnem primeru ni pravilno.

33. Utemeljen je zato tožbeni očitek, da je toženka kršila načelo zaslišanja strank iz 9. člena ZUP. Glede na to, da ni sporno, da se je tožnik (naknadno) z izpodbijano odločbo seznanil, da je bil AJPES vključen v postopek in z dopisi AJPES, saj svojo tožbo med drugim utemeljuje ravno s tem, da bi moral z navedenim biti seznanjen že pred in ne šele po izdaji izpodbijane odločbe, pa sodišče na podlagi druge alineje drugega odstavka 63. člena ZUS-1 po ugotovitvi, da je kršitev odpravljena, ni ugodilo tožbi zaradi ugotovljene kršitve, ki je bila odpravljena.

34. Sodišče je ugodilo tožbi zato, ker je utemeljen (tudi) tožbeni očitek bistvene kršitve določb postopka zaradi neobrazloženosti izpodbijane odločbe. Upravna odločba mora biti namreč izdana v skladu z 214. členom ZUP. Če je odločba pomanjkljiva in v njej niso navedeni ocena zakonskega dejanskega stanja stvari, pomembna za pravilno in zakonito odločitev, dokazi, ki utemeljujejo obstoj takih dejstev in preudarki, ki so upravni organ vodili pri odločanju, gre za pomanjkljivost, ki stranki ne omogoča vložitve učinkovitega pravnega sredstva, zato so lahko zagotovljena pravna sredstva le navidezna. Stranka ima pravico seznaniti se z razlogi odločitve in preudarki, ki so upravni organ, ki je o zadevi odločal, vodili pri odločanju. Stopnja podrobnosti, s katero mora biti obrazložena odločba, je določena s tistim, kar zahteva učinkovito pravno sredstvo zoper odločbo v vsakem posameznem primeru.1 Iz obrazložitve upravnega akta morajo biti torej v posledici izvedenega postopka navedene okoliščine, razlogi in pravna podlaga za odločitev organa, konkretizirane na način in v takšni meri, da odločitev, ki je bila sprejeta, nasprotna stranka lahko preveri oziroma se do navedb opredeli. Prav tako pa morajo biti te okoliščine navedene na način, da jih ob (morebitni) vložitvi pravnega sredstva lahko preveri tudi sodišče. 35. Toženka je zavrnila dostop v delu na podlagi 11. točke prvega odstavka 6. člena ZDIJZ, ki določa, da organ prosilcu zavrne dostop do zahtevane informacije, če se zahteva nanaša na podatek iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organov, in bi njegovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti organa. Tožnik ne izpodbija ugotovitve toženke, da gre pri zahtevanih podatkih za podatek iz dokumenta, ki je bil sestavljen v zvezi z notranjim delovanjem oziroma dejavnostjo organov. Ne strinja se, da je podan drug pogoj in sicer, da bi razkritje podatkov povzročilo motnje pri delovanju oziroma dejavnosti organa in v tem delu med drugim ugovarja tudi procesno kršitev, da toženka ni obrazložila, zakaj bi razkritje zavrnjenih podatkov povzročilo motnje pri delovanju oziroma dejavnosti organa.

36. Iz izpodbijane odločbe izhaja, da je toženka v utemeljitev obstoja motnje delovanja navedla, da gre za podatke, ki so del notranje strategije organa, kako zagotoviti varnost informacijskega sistema in kakšne konkretne ukrepe je in bo AJPES sprejel v ta namen. Toženka je pojasnila, da bi se v primeru, da bi zavrnjeni podatki postali javno dostopni, po oceni toženke povečala potencialna ogroženost informacijskega sistema AJPES. Toženka se je pri utemeljitvi sklicevala tudi na stališče Vrhovnega sodišča RS v sklepu I U 1613/2011-28 z dne 1. 11. 2011 , da so dokumenti v zvezi z varnostno politiko organa lahko varovani z izjemo notranjega delovanja. Toženka je ocenila, da bi bile motnje, ki bi nastale pri delovanju organa zaradi razkritja informacij večje od pravice javnosti, da se seznani z obravnavanimi informacijami.

37. Utemeljeno tožnik ugovarja, da taka obrazložitev ne zadošča. Obrazložitev toženke je namreč splošna, pavšalna, s povzemanjem zakonskih terminov in brez konkretne utemeljitve, da bi in zakaj bi razkritje zahtevanih podatkov, povzročilo motnje pri delovanju oziroma dejavnosti AJPES. Izpodbijane odločbe se tudi po presoji sodišča v tem delu ne da preizkusiti, ker ni obrazloženo, zakaj bi: ime aplikacije, v kateri so bile zaznane pomanjkljivosti, podatki o časovni zaznavi pomanjkljivosti in dinamiki izvedenih popravkov, podatki o časovni dinamiki varnostnih ukrepov in podatek o nameravanem načinu odprave ranljivosti sistema, o tipu ugotovljenih pomanjkljivosti in načinu odprave, povzročil motnje pri delovanju oziroma dejavnosti AJPES. Toženka bi po presoji sodišča morala za vsakega od prekritih podatkov obrazložiti, zakaj bi njegovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti AJPES. Povzemanje toženke, da je pri svoji odločitvi sledila AJPES, da bi se v primeru, da bi podatki v celoti postali javno dostopni, povečala potencialna ogroženost informacijskega sistema AJPES, je po presoji sodišča posplošena in vsebinsko prazna in zato taka obrazložitev ne zadošča. Pri tem sodišče dodaja, da toženka v tem upravnem sporu ne more dopolnjevati izpodbijane odločbe z dodatnim utemeljevanjem svoje odločbe. Pomanjkljivosti obrazložitve ne more nadomestiti niti sklicevanje in povzemanje sklepa Vrhovnega sodišča RS I U 1613/2011-28 z dne 1. 11. 2011. Sodišče sprejema stališče Vrhovnega sodišča v citiranem sklepu, da so dokumenti v zvezi z varnostno politiko organa lahko varovani z izjemo notranjega delovanja, kar pa ne nadomešča obrazložitve, zakaj zakriti podatki v konkretnem primeru izpolnjujejo pogoj, da bi njihovo razkritje povzročilo motnje pri delovanju oziroma dejavnosti organa.

38. Sodišče ugotavlja, da ima izpodbijana odločba takšne bistvene pomanjkljivosti, ki onemogočajo preizkus njene pravilnosti in zakonitosti, zato je podana kršitev iz 3. točke prvega odstavka 64. člena ZUS-1. V predmetnem postopku je torej prišlo do bistvene kršitve določb postopka, ki je vselej podana v primeru, ko gre za absolutno bistveno kršitev pravil postopka, ki jo določa ZUP (tretji odstavek 27. člena ZUS-1). Sodišče je zato na podlagi 3. točke prvega odstavka 64. člena ZUS-1 tožbi ugodilo, izpodbijano odločbo odpravilo in v skladu s tretjim odstavkom 64. člena ZUS-1 zadevo vrnilo v ponoven postopek.

39. Zaradi kršitev pravil postopka, ki jih mora odpraviti organ, odločanje o vsebini upravnega akta ni bilo mogoče, zato sodišče samo ni moglo odločiti o stvari (smiselna uporaba prvega odstavka 65. člena ZUS-1). Sodišče se posledično v sodbi tudi ni opredeljevalo do drugih tožbenih navedb.

**K II. točki izreka:**

40. Odločitev o stroških postopka je sodišče sprejelo na podlagi 25. člena ZUS-1, ki določa, da se v primeru, če sodišče tožbi ugodi, tožeči stranki glede na opravljena procesna dejanja in način obravnavanja zadeve, prisodi pavšalni znesek povračila stroškov, v skladu s Pravilnikom o povrnitvi stroškov tožniku v upravnem sporu (tretji odstavek 25. člena ZUS-1). Ker je bila zadeva rešena na obravnavi, tožnik pa je v postopku imel pooblaščenca, ki je odvetnik, se mu priznajo stroški v višini 385,00 EUR (drugi odstavek 3. člena Pravilnika) in stroški v višini 38,5 EUR za dodatno pojasnjevanje za vloge (4 x 38,5 EUR; 4. člen Pravilnika), skupaj z zahtevanim 22 % DDV, v skupnem znesku 657,58 EUR. Zakonske zamudne obresti od stroškov postopka tečejo od poteka roka za njihovo prostovoljno plačilo (prvi odstavek 299. člena Obligacijskega zakonika).

**K III. točki izreka:**

41. Odločitev o stroških zahtevka prizadete stranke je sodišče sprejelo na podlagi Zakona o pravdnem postopku (v nadaljevanju ZPP), ker ZUS-1 ne ureja vprašanja stroškovnega zahtevka strank z interesom (prvi odstavek 22. člena ZUS-1). Odločitev, da AJPES nosi sam svoj stroške postopka, je sodišče sprejelo na podlagi določbe prvega odstavka 154. člena ZPP, ker v sporu ni uspela.

1 Sodba Vrhovnega sodišča RS I Up 248/2002, z dne 10. 11. 2004.