Treść pytania
Wnoszę o udostępnienie informacji publicznej w zakresie:
udzielenia odpowiedzi na następujące pytania:
- Czy powołano inspektora ochrony danych?
- Jeśli tak to jaki jest jego status, czy jest pracownikiem Urzędu, firmy zewnętrznej lub prowadzi działalność gospodarczą, w jaki sposób jest wynagradzany?
- Jakie zbiory danych osobowych są przetwarzane w Urzędzie i jakie systemy służą ich przetwarzaniu? Czy Inspektor opracował rejestr zbiorów danych proszę o podanie daty opracowania i podanie miejsca jego publikacji na stronie internetowej lub w wypadku nie opublikowania na stronie internetowej proszę o przesłanie kopii elektronicznej ww. rejestru?
- Czy Inspektor Ochrony Danych opracował plan sprawdzeń określony w § 3 ust. 3 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (zwanego dalej Rozporządzeniem)? Jeśli tak proszę o udostępnienie planu sprawdzeń na 2017 i 2018 i 2019 rok jeśli został przygotowany.
- Czy Inspektor opracował sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a Ustawy? Jeśli tak to proszę o udostępnienie sprawozdania za 2017 i 2018 rok.
- Czy są robione sprawdzenia planowe? Proszę o sprawozdania ze sprawdzeń za rok 2017 i 2018.
- Jaki zabezpieczenia są stosowane w Urzędzie celem zapewnienie bezpieczeństwa przetwarzania i przechowywanie danych osobowych
Treść odpowiedzi
Odpowiadając na wniosek proszę przyjąć co następuje.
Ad 1.
W Urzędzie Miasta Lublin został wyznaczony Inspektor Ochrony Danych Dane Inspektora Ochrony Danych znajdują się w Biuletynie Informacji Publicznej pod linkiem: Inspektor ochrony danych osobowych.
Ad 2.
Inspektor Ochrony Danych jest zatrudniony na podstawie umowy o pracę i z tego tytułu pobiera wynagrodzenie.
Ad 3.
Obowiązujące na gruncie dyrektywy 95/46/WE mechanizmy uprzedniej kontroli polegające na obowiązku zawiadamiania organu nadzorczego o operacjach przetwarzania, które w polskim prawie przybrały postać obowiązku rejestracji zbiorów danych osobowych u Generalnego Inspektora Danych Osobowych zostały zastąpione obowiązkiem prowadzenia rejestru czynności przetwarzania danych nieznanego na gruncie dotychczasowych przepisów. W związku z uchyleniem dyrektywy 95/46/WE organ realizuje dyspozycje wynikające z aktualnie obowiązujących przepisów i realizuje czynności z nich wynikające. W motywie 82 preambuły do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/680 (dalej RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 wprowadzono regulację: „dla zachowania zgodności z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni współpracować z organem nadzorczym i na jego żądania udostępnić mu te rejestry w celu monitorowania tych operacji przetwarzania”. Rejestr czynności przetwarzania, w odróżnieniu od rejestru zbiorów (prowadzonego przez administratora bezpieczeństwa informacji( ABI) i organ nadzorczy) nie ma charakteru jawnego i powszechnie dostępnego, a charakter wewnętrzny. Oznacza to, że rejestr czynności przetwarzania nie powinien być publikowany na stronach internetowych administratora ani udostępniany na żądanie zainteresowanych osób. Przepis art. 30 ust. 4 RODO nakazuje udostępnienie rejestru jednie organowi nadzorczemu. Brak jawności rejestru wynika m.in.: z treści informacji w nim zawartych, które wymagają ochrony przed ujawnieniem osobom nieuprawnionym. Dotyczy to przede wszystkim informacji na temat zastosowanych zabezpieczeń, które powinny być objęte tajemnicą.
Z racji opisanych powyżej należy stwierdzić, że na gruncie obecnie obowiązujących przepisów inspektor ochrony danych nie opracowuje „rejestru zbioru danych” - taki obowiązek wynikał z przepisów, które utraciły moc w związku z wejściem w życie nowych regulacji. Natomiast informacje w zakresie „rejestru czynności przetwarzania danych” nie mogą być udostępnione w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 z późn. zm.) z uwagi na to, że przepisy prawa przewidują szczególne zasady i tryb udostępniania wymienionych informacji. Zgodnie bowiem z art. 1 ust. 2 ustawy o dostępie do informacji publicznej przepisy tej ustawy nie naruszają przepisów innych ustaw określających odmienne zasady i tryb dostępu do informacji będących informacjami publicznymi. Jeżeli zatem obowiązują odmienne regulacje ich udostępniania, będą one miały pierwszeństwo przed ustawą o dostępie do informacji publicznej.
Ad 4-6.
Sformułowane przez wnioskodawcę żądania w pkt 4-6 nie są możliwe do zrealizowania przez organ zobowiązany do udzielenia informacji publicznej z uwagi na to, że wnioskodawca pyta o realizację zadań Inspektora Ochrony Danych (IOD) wskazując sporządzanie planów sprawozdań, sprawozdań i sprawdzeń w myśl przepisów prawa dotyczących Administratora Bezpieczeństwa Informacji. Przywołane we wniosku przepisy:
- rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
- art. 36 a ust. 2 pkt 1 lit.a ustawy (organ przyjął że wniosek dotyczy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)
regulowały zadania realizowane przez administratora bezpieczeństwa informacji, a nie inspektora ochrony danych. W świetle obecnie obowiązujących przepisów IOD ma inne, niż wskazane w powyższych pytaniach, obowiązki - natomiast obowiązki, które wnioskodawca przypisuje IOD są zadaniami, które realizował przez ABI na gruncie nieobowiązujących już regulacji prawnych.
Obowiązek wyznaczenia inspektora ochrony danych na zasadach określonych w art. 37 RODO powstał na mocy wejścia w życie przepisów ustawy o ochronie danych osobowych i RODO w dniu 25 maja 2018 r. Nie należy zatem utożsamiać funkcji administratora bezpieczeństwa informacji z funkcją inspektora ochrony danych, bowiem wymienione przepisy prawa odmiennie regulują zakres zadań i funkcję tych dwu instytucji.
Do zadań ABI należało:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych - sprawdzanie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych a także nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz przestrzegania zasad w niej określonych;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych;
- wykonywanie innych obowiązków powierzonych przez administratora danych.
Art. 39 obecnie obowiązującego rozporządzenia (RODO) wyraźnie określa zadania inspektora ochrony danych. Są nimi.:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania tych przepisów oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Zakres zadań inspektora ochrony danych został ukształtowany odmiennie, jest on znacznie szerszy i sformułowany został bardziej szczegółowo.
Reasumując powyższe rozważania należy stwierdzić, że nie jest możliwe aby przy tak sformułowanym pytaniu wnioskodawcy organ udzielił odpowiedzi na pytania 4-6 wniosku, bowiem inspektor ochrony danych nie mógł być zobowiązany do realizacji zadań wynikających z przepisów, które ani go nie dotyczyły, ani nie są już obowiązujące. Wspomniany wyżej przepis art. 39 nie nakłada na inspektora ochrony danych obowiązku przeprowadzania sprawdzeń na polecenie organu nadzorczego i przedkładania sprawozdań z tego rodzaju sprawdzeń organowi nadzorczemu. Taki wymóg był przewidziany w art. 19b poprzednio obowiązującej ustawy o ochronie danych osobowych, jednak prawodawca unijny nie wprowadza analogicznego przepisu, ograniczając się do ogólnego stwierdzenia, że jednym z zadań inspektora ochrony danych jest współpraca z organem nadzorczym. Oznacza to, że organ nadzorczy nie jest uprawniony do żądania od inspektora ochrony danych dokonania sprawdzeń i przedkładania sprawozdań, a inspektor ochrony danych nie ma obowiązku wykonywania tego rodzaju zadań.
Należy w tym miejscu podkreślić, że prawo dostępu do informacji publicznej obejmuje prawo żądania udzielenia informacji o określonych faktach i stanach istniejących w chwili udzielania informacji. Informacja publiczna dotyczy sfery faktów, a prawo dostępu do informacji publicznej oznacza dostęp do informacji już będącej w posiadaniu podmiotu zobowiązanego i nie może być utożsamiane z prawem do inicjowania działań mających na celu wytworzenie informacji jakościowo nowej. Powyższe uprawnia do przyjęcia, że wiosek zainteresowanego rodzi po stronie organu administracji obowiązek udostępnienia informacji publicznej tylko wtedy, gdy ta informacja publiczna znajduje się w jego posiadaniu (por. wyrok NSA z dnia 21 czerwca 2012 r., sygn. akt I OSK 736/12).
Ponadto, mając na uwadze regulacje ustawy o dostępie do informacji publicznej wskazać należy, że aby reżim tej ustawy znalazł zastosowanie przy załatwieniu określonego wniosku – z wniosku tego musi wynikać, że dotyczy on informacji publicznej w rozumieniu art. 1 ust. 1 tej ustawy. Ocena tego, czy wniosek dotyczy informacji publicznej, dokonywana powinna być przez pryzmat informacji, o które wnioskuje podmiot składający wniosek. Wskazanie zatem żądanych informacji musi być na tyle precyzyjne i jasne, aby nie budził wątpliwości zakres żądania wnioskodawcy. Jeżeli wniosek nie spełnia tego standardu i nie zostanie sprecyzowany przez wnioskodawcę, wówczas nie może być traktowany jako wniosek o informację publiczną w rozumieniu art. 1 ust. 1 w zw. z art. 10 ust. 1 ustawy o dostępie do informacji publicznej, wobec czego nie wywołuje skutku prawnego w postaci obowiązku organu zastosowania przepisów tej ustawy.
Ad 7.
Stosowane w Urzędzie Miasta Lublin zabezpieczenia zmierzające do zapewnienia bezpieczeństwa przetwarzania i przechowywania danych wynikają z przepisu art 32 RODO. Stosowane są zatem m.in.: takie środki zabezpieczeń jak pseudoanonimizacja, szyfrowanie danych osobowych, z zastrzeżeniem, że środki te są wdrażane w stosownych przypadkach.
Jeśli natomiast chodzi o utrzymanie funkcjonalności systemów i usług zapewniającej odpowiedni poziom bezpieczeństwa, do środków zmierzających do zapewnienia bezpieczeństwa przetwarzania i przechowywania danych należy zaliczyć:
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające na przykład z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Ponadto administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Działania te polegają m.in.: na nadawaniu upoważnień określających zakres przetwarzania danych.
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
11-12-2020 08:29 | Joanna Kapica-Tokarczyk | aktualizacja sposobu wyświetlania linku we wniosku | Wersja aktualnie wyświetlana |
25-04-2019 15:27 | Beata Sak-Łapińska | Utworzenie dokumentu na podstawie sprawy KP-PP-I.1431.111.2019 | Zobacz |