Treść pytania
Wnoszę o udostępnienie informacji publicznej w zakresie ochrony danych osobowych:
- Który z parametrów (wymienionych we wniosku) nie jest spełniony przez stosowanie w Państwa jednostce informatyczne zabezpieczenia danych?
- Czy zleciliście Państwo obowiązki IODO nałożone na Państwa jednostkę przez Ustawę w formie usługi zewnętrznej, jeżeli tak to komu?
- Czy w budżecie Państwa jednostki na 2020 r. zostały zabezpieczone środki finansowe z przeznaczeniem na zakup usług i sprzętu IT, w tym zwiększającego bezpieczeństwo danych osobowych którymi Państwo administrujecie? Jeśli tak, to w jakiej wysokości? Jeśli nie, to czy planujecie Państwo takie zadania na 2020 r?
- Czy zapoznaliście się Państwo z raportem NIK, który oceniał stopień zabezpieczenia danych w JST i czy wnioski płynące z raportu zostały przeanalizowane przez osoby odpowiedzialne za bezpieczeństwo danych w organizacji?
- Czy Urząd i jego jednostki zależne wykonały w 2019 r. zobowiązanie jakie płynie z § 20 Rozporządzenia KRIO – coroczny audyt IT?
- Jakie stosujecie Państwo techniki zabezpieczenia danych, w tym danych osobowych i wrażliwych w realizowanych transmisjach pomiędzy urzędem, a jednostkami zależnymi?
- Jak realizujecie Państwo w praktyce wynikające z art. 17 ust. 1 Rozporządzenia RODO – prawo do bycia zapomnianym?
- Czy w okresie od wejścia w życie Ustawy z dnia 10 maja 2018 roku, miały w Państwa jednostce miejsce sytuacje naruszenia przepisów ustawy? Czy zostały one należycie zgłoszone i jakie podjęto kroki celem eliminacji takich sytuacji w przyszłości? Czy prowadzicie Państwo rejestr zdarzeń i incydentów, którego prowadzenia nakłada na Państwa obowiązek ustawowy?
Treść odpowiedzi
Ad 1 i 6 Informacje dotyczące zabezpieczeń technicznych i organizacyjnych, opisane są w rejestrze czynności przetwarzania, mają charakter wewnętrzny i nie stanowią informacji publicznej w rozumieniu pojęcia informacji publicznej, jakie zostało określone przez ustawodawcę w art. 1 ust. 1 i art. 6 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r., poz. 1429) – dalej u.d.i.p.
Rejestr czynności przetwarzania, w odróżnieniu od rejestru zbiorów (prowadzonego przez organ nadzorczy oraz przez administratora bezpieczeństwa informacji na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), nie ma charakteru jawnego i powszechnie dostępnego, a charakter wewnętrzny. Oznacza to, że rejestr czynności przetwarzania nie powinien być publikowany na stronach internetowych administratora, ani udostępniany na żądanie zainteresowanych osób, bowiem przepis nakazuje jedynie udostępnianie rejestru organowi nadzorczemu. Brak jawności rejestru wynika m. in. z treści informacji w nim zawartych, które wymagają ochrony przed ujawnieniem osobom nieuprawnionym. Dotyczy to przede wszystkim informacji na temat zastosowanych zabezpieczeń, które powinny być objęte tajemnicą (Paweł Fajgielski, Komentarz: Ogólne rozporządzenie o ochronie danych osobowych, Ustawa o ochronie danych osobowych. Wolters Kluwer Polska Sp. z o.o. 2018).
Wobec powyższego w ocenie organu, rejestry te są dokumentami wewnętrznymi. Za takim podejściem przemawia również obowiązujące orzecznictwo Naczelnego Sądu Administracyjnego, zgodnie z którym nie stanowią informacji publicznej i nie podlegają udostępnianiu na podstawie ustawy o dostępie do informacji publicznej dokumenty wewnętrzne, które nie są skierowane do podmiotów zewnętrznych. Dokumenty takie służą wymianie informacji, zgromadzeniu niezbędnych materiałów, uzgadnianiu poglądów i stanowisk, mogą określać zasady działania w określonych sytuacjach; mogą też być fragmentem przygotowań do powstania aktu będącego formą działalności danego podmiotu (wyrok NSA z dnia 18 sierpnia 2010 r., I OSK 851/10). Ponadto, należy zauważyć, że rejestr czynności przetwarzania wpisuje się w politykę bezpieczeństwa Urzędu Miasta Lublin i jest dokumentem wewnętrznym opracowanym w związku z koniecznością wypełnienia obowiązku m. in. w zakresie udokumentowania stosowanych przez administratora środków technicznych, wykazu zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Zdaniem Generalnego Inspektora Danych Osobowych, który na stronie internetowej w zakładce: "Wskazówki dla administratora danych", polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym są to dokumenty wewnętrzne, które powinny być udostępniane jedynie ograniczonemu kręgowi osób (https://giodo.goy.pl/pl/222/9906.
W sytuacji, gdy wnioskodawca żąda udzielenia informacji, która nie stanowi informacji publicznej bądź też w przypadku, gdy stanowi informację publiczną, ale tryb dostępu do informacji odbywa się na odrębnych zasadach (art. 1 ust. 2 u.d.i.p.), organ nie ma obowiązku wydawania decyzji o odmowie udzielenia informacji, lecz zawiadamia jedynie wnoszącego, że żądane dane nie mieszczą się w pojęciu objętym przedmiotową ustawą (por. wyrok NSA Ośrodek Zamiejscowy w Lublinie z 20 czerwca 2002 r., II SA/Lu 507/02 – dostępne jw.).
Ad 2 Urząd Miasta Lublin nie zlecił obowiązków Inspektora Ochrony Danych podmiotowi zewnętrznemu.
Ad 3 Informuję, że w budżecie miasta Lublin zabezpieczono środki na sprzęt i usługi IT zwiększające bezpieczeństwo danych. Miasto Lublin prowadzi równolegle kilkanaście projektów obejmujących przetwarzanie danych zawierających elementy zapewnienia ich bezpieczeństwa. Kwoty planowane do wydatkowania w roku 2020 na te projekty przekroczą 20 mln zł. Zabezpieczenia danych na różnych poziomach eksploatacji stanowią zintegrowaną część tych projektów, jednak ich wartość, w ramach danego projektu nie jest możliwa do wyodrębnienia. Wobec tego precyzyjne określenie sumy planowanych wydatków na zabezpieczenie danych nie jest możliwe.
Ad 4 Pytanie sformułowane w pkt nr 4 dotyczy zamierzeń podjęcia działań, bądź dokonania oceny raportu NIK, które nie są jeszcze utrwalone, tj. nie istnieją w jakiejkolwiek zmaterializowanej postaci. Zgodnie z definicją informacji publicznej określoną w u.d.i.p. nie stanowią one informacji publicznej i z tych powodów wniosek w powyższym zakresie nie może być zrealizowany w trybie przewidzianym w ww. ustawie.
Organ jest zobowiązany do udzielenia informacji, ale tylko takiej, która znajduje się w jego posiadaniu i której używa do zrealizowania powierzonych prawem działań. Informacja publiczna powinna istnieć w formie utrwalonej w chwili złożenia wniosku, a więc odnosić się do istniejącego już stanu rzeczy, do czynności już dokonanych przez podmiot zobowiązany do udostępnienia informacji.
Ad 5 Audyt wewnętrzny jest przeprowadzany corocznie zgodnie z wymogami określonymi w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r., poz. 2247) - §10 ust. 2 pkt 14).
Art 7 Przepis art. 17 ust. 1 Rozporządzenia Parlamentu Europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – DZ. U. UE. L. 2016.119.1- dalej RODO, stanowiący, że prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych nie ma zastosowania w sytuacji, gdy osoba, której dane dotyczą, mimo spełnienia omówionych powyżej przesłanek nie jest uprawniona do tego, aby skutecznie domagać się usunięcia danych i poinformowania innych podmiotów o obowiązku usunięcia danych. Organ realizuje zadania publiczne wynikające z ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2019 r., poz. 506 z późń zm.), gromadzi więc dane osobowe na podstawie przepisów prawa. Wyjątek stosowania uprawnienia wynikającego z art. 17 ust. 1 cyt. Rozporządzenia nie ma zastosowania w zakresie realizacji obowiązków wynikających z przepisów prawa oraz wykonywania zadań publicznych. Jeżeli przetwarzanie danych osobowych jest niezbędne dla realizacji wskazanych powyżej celów, to żądanie usunięcia danych nie przysługuje.
Wyłączenie to ma zatem zastosowanie do administracji publicznej i sprawia, że organy administracji przetwarzają dane osobowe na podstawie przepisów prawa. Uprawnienie do żądania usunięcia danych (prawo do bycia zapomnianym) nie będzie miało w tym wypadku zastosowania. Dotychczas do organu nie wpłynął wniosek związany z realizacją uprawnienia wynikającego z omawianego art. 17 RODO.
Ad 8 Organ prowadzi rejestr naruszeń wymagany przepisami RODO i takie incydenty miały miejsce w podmiocie. Naruszeniem ochrony danych osobowych nie będzie każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą.
Zgłoszenia do organu nadzorczego odbywają się zgodnie z przepisem art. 33 RODO i to organ nadzorczy ocenia, czy są poprawnie złożone. Na chwilę obecną nie było zastrzeżeń ze strony organu nadzorczego. W przypadku ich występowania i niezastosowania się organu do zaleceń Urzędu Ochrony Danych Osobowych (UODO) mogłoby to skutkować nałożeniem administracyjnej kary pieniężnej, co na pewno znalazłoby odbicie w decyzjach, które UODO publikuje na swojej stronie internetowej. Kroki podjęte przez organ celem eliminacji zaistniałych incydentów mają charakter działań wewnętrznych/organizacyjnych, które nie stanowią informacji publicznej (vide pkt1 i 6 niniejszej odpowiedzi).
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
27-02-2020 09:24 | Kamila Karamon | korekta daty wpływu wniosku | Wersja aktualnie wyświetlana |
27-02-2020 08:41 | Kamila Karamon | utworzenie dokumentu na podstawie sprawy KP-PP-I.1431.507.2019 | Zobacz |