Treść pytania
1. Czy opracowano dokumentację dotyczącą ochrony danych osobowych wymaganą przepisami Art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r., poz. 1182 z późn. zm czyli
– polityki bezpieczeństwa danych osobowych;
– instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
2. Jeżeli opracowano dokumentację wnoszę o przesłanie dokumentacji na maila ( skan lub w formie elektronicznej)
3. Czy powołano Administratora Bezpieczeństwa Informacji w rozumieniu art. 36a. ust. 1 Ustawy?
4. Jeżeli powołano ww. Administratora Bezpieczeństwa Informacji proszę o podanie na jakiej podstawie uznano, że Administratora Bezpieczeństwa Informacji ma odpowiednią wiedzę w zakresie ochrony danych osobowych rozumieniu art. 36a. ust. 1 Ustawy i proszę podać jego wykształcenie oraz kwalifikacje.
5. Czy Administrator Bezpieczeństwa Informacji spełnił obowiązek i opracował rejestr zbiorów danych osobowych określony w art. 36a. ust. 2 pkt 2 Ustawy? Jeśli tak proszę o przesłanie rejestru lub podanie strony www. gdzie został upubliowany.
6. Czy Administrator Bezpieczeństwa Informacji opracował plan sprawdzeń określony w § 3. ust. 3 Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745)[zwanego dalej Rozporządzeniem]. Proszę o przesłanie planu sprawdzeń na rok 2017.
7. Czy Administrator Bezpieczeństwa Informacji opracował sprawozdanie, o którym mowa w art. 36a ust. 2 pkt. 1 lit. A Ustawy. Jeżeli tak to proszę o podanie trybu określonego w ust.2 Rozporządzenia oraz daty i miejsca podpisania ww. sprawozdania. Proszę o przesłanie sprawozdania za rok 2016 i 2017.
Treść odpowiedzi
Odpowiadając na wniosek o udostępnienie informacji publicznej dotyczącej bezpieczeństwa informacji w zakresie udzielenia odpowiedzi na 7 pytań sformułowanych we wniosku proszę przyjąć, co następuje.
W Urzędzie Miasta Lublin opracowano dokumentację opisująca sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Informacje o tym fakcie znajdują się w Biuletynie Informacji Publicznej Samorządu Miasta Lublin (BIP) w zakładce: >>Prawo>>Zarządzenia Prezydenta>> Zarządzenie nr 1/3/2017 Prezydenta Miasta Lublin z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin.
Odnosząc się do żądań sformułowanych w pytaniach 3-12, z wyłączeniem danych w zakresie roku 2017, wyjaśniam, że informacje stanowiące odpowiedź na powyższe żądania znajdują się w dokumencie opublikowanym w BIP pod linkiem bezpośrednim: http://bip.lublin.eu/bip/um/index.php?t=200 line-height: 100%"> Administrator bezpieczeństwa informacji opracował plan sprawdzeń określający przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń. Sprawozdania za rok 2017 powstaną po przeprowadzeniu sprawdzeń w 2017 r.
Odnosząc się natomiast do żądania udostępnienia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz listy kontrolne do sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w w zbiorach danych osobowych, będące załącznikami do sprawozdań z dnia: 13.09.2016, 22.09.2016, 23.09.2016, 27.09.2016, 14.10.2016, 9.11.2016, 14.11.2016. 18.11.2016, nie mogą być udostępnione z uwagi na ograniczenia wynikające z art. 5 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej – dalej uodip (Dz. U. z 2016 r. poz. 1764 z późn. zm.) w związku z art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922). Wymienione dokumenty te zawierają zindywidualizowane dane o stosowanych rozwiązaniach technicznych wchodzących w skład systemu ochrony danych osobowych na danych stanowiskach pracy. W świetle art. 39 ust. 2 ustawy o ochronie danych osobowych osoby, które zostały upoważnione do przetwarzania danych osobowych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. W doktrynie obowiązek wynikający z art. 39 ust. 2 cyt. ustawy jest traktowany jako tajemnica zawodowa, która oznacza zakaz ujawniania danych osobowych i systemów zabezpieczeń, przekazywania ich czy wykorzystywania.
Z uwagi na fakt, że zgodnie z art. 16 uodip odmowa udostępnienia informacji następuje w formie decyzji administracyjnej, działając na podstawie art. 64 § 2 w związku z art. 63 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeksu postępowania administracyjnego (Dz. U. z 2016 r. poz. 23 z późn. zm.) - dalej „k.p.a.”
wzywam
do usunięcia braków formalnych przedmiotowego wniosku z dnia 8 marca 2017 r. poprzez złożenie wniosku (podania), opatrzonego własnoręcznym podpisem wnioskodawcy lub bezpiecznym podpisem elektronicznym oraz wskazania adresu wnoszącego podanie – w terminie siedmiu dni od daty otrzymania niniejszego pisma.
Jednocześnie informuję, iż nieusunięcie wyżej wymienionych braków wniosku w powyższym terminie spowoduje pozostawienie wniosku bez rozpoznania (art. 64 § 2 k.p.a.).
Zgodnie z utrwalonym orzecznictwem, wszystkie przypadki, w których ma dojść do podjęcia przez organ aktu administracyjnego, w tym zwłaszcza kwalifikowanego, jakim jest decyzja administracyjna, bezwzględnie wymagać będą własnoręcznego podpisu wnioskodawcy (bezpiecznego podpisu elektronicznego) na wniosku o udostępnienie informacji publicznej, a jego brak winien być usuwany w postępowaniu naprawczym, regulowanym w art. 64 § 2 k.p.a. Zgodnie z art. 16 ust. 2 uodip, do decyzji odmownej oraz o umorzeniu postępowania stosuje się przepisy k.p.a., co oznacza, że Kodeks ten ma zastosowanie do całego procesu wydawania decyzji, a więc także do kwestii usuwania braków formalnych wniosku.
Przedmiotowy wniosek, przesłany drogą mailową, nie jest opatrzony podpisem oraz nie zawiera adresu umożliwiającego skuteczne doręczenie decyzji administracyjnej, a tym samym nie odpowiada warunkom, jakie przepisy k.p.a. statuują w odniesieniu do podań (przepis art. 63 § 1 – 3a k.p.a. Zgodnie z art. 64 § 1 k.p.a., jeżeli podanie nie czyni zadość innym wymaganiom ustalonym w przepisach prawa, należy wezwać wnoszącego do usunięcia braków w terminie siedmiu dni z pouczeniem, że nieusunięcie tych braków spowoduje pozostawienie podania bez rozpoznania.