Treść pytania
Wnoszę o udostępnienie informacji publicznej w następującym zakresie:
- szacunkowej ilości oprogramowania - użytkowanego w Urzędzie i nieposiadającego obecnie wsparcia producenta - inter alia: Windows XP, Windows Vista, etc,
- czy podmiot dysponuje całościową Polityką Bezpieczeństwa Informacji, wymaganą w §20 ust. 1 i 3 ww. Rozporządzenia? Jeśli odpowiedź jest twierdząca - wnosimy o krótkie - w kilku ogólnych zdaniach - opisanie przedmiotowej dokumentacji RODO.
- kiedy Urząd ostatni raz przeprowadzał wewnętrzny audyt z zakresu bezpieczeństwa informacji - stosownie do wymogów § 20 ust. 2 pkt. 14 ww. Rozporządzenia.
- czy Urząd posiada na dzień dostarczenia niniejszego wniosku - bilateralne sygnowaną umowę (ze strony Urzędu przez upoważnioną osobę) w przedmiocie usług poczty elektronicznej - spełniającą wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ?
- podanie danych Pracownika Urzędu, który w zakresie wykonywanych zadań i powierzonych kompetencji odpowiada operacyjnie za wyżej wzmiankowany obszar związany z informatyzacją Urzędu. Mówiąc o danych Pracownika Urzędu - Wnioskodawca ma na myśli - imię i nazwisko, adres e-mail, nr tel. Etc
- czy zostały zrealizowane wszystkie zadania Administratora wskazane w raporcie NIK ? raport NIK .
- czy IOD poinformował i przygotował umowę zawartą z firmą, która dostarcza oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Poniżej stanowisko UODO o konieczności zawarcia umowy powierzenia: stanowisko UODO
- podanie liczby żądań określonych w art. 15 i 21 RODO jakie wpłynęły do adresata niniejszego wniosku w roku 2020.
- czy zostały przeprowadzone konsultacje o których mowa w art. 108a Prawa Oświatowego w zakresie konsultacji między jednostkami oświatowymi a organem prowadzącym w zakresie monitoringu wizyjnego?
- czy w ostatnich trzech latach pracownicy podmiotu uzupełniali wiedzę podczas szkoleń z zakresu dostępu do informacji publicznej/prowadzenia BIP/poprawnej obsługi wniosków o informację publiczną? Jeśli tak to kto był dostawcą szkoleń , Proszę podać ilu pracowników przeszkolono i jaki był koszt brutto szkolenia za pracownika oraz łącznie, a także czy były to szkolenia zamknięte czy otwarte, stacjonarne (w siedzibie czy wyjazdowe), zdalne (stacjonarne czy telekonferencja)?
- Prezes UODO w decyzji z 10 września 2019 r. (ZSPR.421.2.2019) wyjątkowo mocno podkreśla:kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa?.W związku z powyższym czy IOD podjął działania realne w tym zakresie? Czy zostały opracowane odpowiednie procedury? Jeśli tak to jakie?
- zgodnie ze stanowiskiem UODO wyrażonym w podręczniku UODO, podręcznik UODO i na stronie UODO należy zawrzeć umowy powierzenia pomiędzy jednostkami oświatowymi a podmiotami obsługującymi te jednostki w zakresie księgowym czy administracyjnym np. CUW. Czy takie umowy między jednostkami zostały zawarte?
- wnosimy o informację w zakresie: danych danych Inspektora Ochrony Danych (IOD)/ewentualnie zastępcy IOD zakresu czynności, wyznaczenie, zawiadomienie o wyznaczeniu IOD do PUODO, czy IOD wykonuje jeszcze jakieś inne dodatkowe czynności/ jeśli tak wskazać jakie, informacje dotyczące szkoleń, podnoszenia kwalifikacji przez IOD, dokumentacja potwierdzająca realizację zadań przez IOD od dnia 25 maja 2018 roku (zadań wynikających z art. 39 rozporządzenia RODO), informacje dotyczące szkoleń pracowników w zakresie ochrony danych osobowych przeprowadzanych po 25 maja 2018 roku z zakresu RODO oraz Krajowych Ram Interoperacyjności (informacje tj. zakres szkolenia, osoba prowadząca, listy obecności, potwierdzenie odbycia szkolenia) rejestr czynności przetwarzania danych osobowych oraz jego zmiany, rejestr kategorii czynności przetwarzania danych osobowych oraz jego zmiany, dokumentacja w zakresie analizy ryzyka związanego z przetwarzaniem danych osobowych, w jaki sposób realizowany jest obowiązek informacyjny z art. 13 RODO? przedstawić obowiązujące klauzule informacyjne, dla jakich czynności przetwarzania zrealizowano obowiązek informacyjny? w jaki sposób realizowany jest obowiązek informacyjny z art. 14 RODO? przedstawić obowiązujące klauzule informacyjne, dla jakich czynności przetwarzania zrealizowano obowiązek informacyjny? czy są wykonywane audyty z zakresu RODO? przedstawić realizacji w/w obowiązku.
- czy istnieje konflikt interesów przy pełnieniu funkcji IOD?
- czy istnieje dokumentacja z zakresu realizacji zadań IOD?
- czy jednostka realizuje obowiązek wskazany w najnowszym stanowisku UODO? Jeśli proszę wskazać w jaki sposób, obowiązek wskazany w UODO .
- w jaki sposób są realizowane obowiązki informacyjne względem osób, które dane dotyczą?
- czy w jednostce funkcjonują przepisy wewnętrzne i dokumenty, z których zapisów wynika, w jaki sposób IOD został włączony w bieżące funkcjonowanie jednostki?
Data udzielenia odpowiedzi
Treść odpowiedzi
Odpowiadając na powyższe proszę przyjąć, co następuje:
Ad. 1
Ilość oprogramowania użytkowanego w Urzędzie i nieposiadającego obecnie wsparcia producenta wynosi:
- Windows XP: 6 szt.
- Windows 7: 2 szt.
- Windows 8: 1 szt.
Ad. 2, 4, 5
Wyjaśniam, iż zapytanie tej treści było już przedmiotem wniosku o dostęp do informacji publicznej. Treść odpowiedzi na wniosek została opublikowana w Biuletynie Informacji Publicznej Samorządu Miasta Lublin w zakładce: Informacja publiczna»Wnioski o udostępnienie informacji publicznej»2019»238, jest dostępna pod linkiem: Wniosek o dostęp do informacji publicznej i pozostaje nadal aktualne.
Należy wskazać, że zgodnie z ustawą z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2020 r. poz. 2176 t.j.) dalej u.d.i.p. udostępnienie informacji publicznej w Biuletynie Informacji Publicznej wyłącza obowiązek ponownego jej udostępnienia na wniosek zainteresowanego w trybie art. 10 ust. 1 cyt. ustawy o dostępie do informacji publicznej (por. wyrok z dnia 1 grudnia 2005 r. Wojewódzkiego Sądu Administracyjnego w Gdańsku, sygn. akt II SA/Gd 436/05).
Ad. 3.
Informuję, iż wewnętrzny audyt z zakresu bezpieczeństwa informacji wykonywane m.in. w oparciu o Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 poz. 2247 t.j.) został przeprowadzony w dniach od 3 do 23 października 2020 r.
Ad. 6
Odpowiadając na to pytanie wniosku należy zauważyć, że aby móc udzielić żądanej informacji cyt. „czy zostały zrealizowane wszystkie zadania Administratora określone w raporcie NIK” należałoby dokonać analizy i oceny tego raportu.
W tym miejscu należy pamiętać, że prawo dostępu do informacji publicznej obejmuje prawo żądania udzielenia informacji o określonych faktach i stanach istniejących w chwili udzielania informacji. Informacja publiczna dotyczy sfery faktów, a prawo dostępu do informacji publicznej oznacza dostęp do informacji już będącej w posiadaniu podmiotu zobowiązanego i nie może być utożsamiane z prawem do inicjowania działań mających na celu wytworzenie informacji jakościowo nowej. Powyższe uprawnia do przyjęcia, że wiosek zainteresowanego rodzi po stronie organu administracji obowiązek udostępnienia informacji publicznej tylko wtedy, gdy ta informacja publiczna znajduje się w jego posiadaniu.
W niniejszej sprawie Wnioskodawca domaga się wyrażenia poglądu, zajęcia stanowiska wobec zaistniałego stanu faktycznego i dokonania oceny przez organ władzy publicznej. Tego typu wniosek nie stanowi informacji publicznej w rozumieniu u.d.i.p.. Przedmiotowa ustawa nie może stanowić narzędzia, przez które wnioskodawca domaga się zajęcia stanowiska w danej sprawie, dokonania oceny zaistniałego stanu faktycznego, czy wykładni prawa. Informacja, której udostępnienia domaga się wnioskodawca na gruncie u.d.i.p. musi odnosić się do faktów. Na gruncie ustawy o dostępie do informacji publicznej organ jest zobowiązany do udzielenia informacji, ale tylko takiej, która znajduje się w jego posiadaniu i której używa do zrealizowania powierzonych prawem działań. W sytuacji, gdy wnioskodawca żąda udzielenia informacji, które nie są informacjami publicznymi, organ nie ma obowiązku wydawania decyzji o odmowie udzielenia informacji, lecz zawiadamia jedynie wnoszącego, iż żądane dane nie mieszczą się w pojęciu objętym przedmiotową ustawą.
Ad. 7
Urząd Miasta Lublin posiada zawartą umowę powierzenia przetwarzania danych z firmą dostarczającą oprogramowanie do stworzenia BIP oraz realizującą obsługę serwisową w tym zakresie.
Ad. 8
Do organu do którego skierowano wniosek wpłynęły w 2020 r. dwa żądania w trybie art. 15-21 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (Dz.U.UE.L.2016.119.1) dalej RODO.
Ad. 9
Informuję, iż pomiędzy szkołami i placówkami oświatowymi a ich organem prowadzącym zostały uzgodnione odpowiednie środki techniczne i organizacyjne w celu ochrony przechowywanych nagrań obrazu oraz danych osobowych uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, a uzyskanych w wyniku monitoringu, o których mowa w art. 108 a ustawy z dnia 14 grudnia 2016 r. prawo oświatowe (Dz.U. z 2020 poz. 940 z późn. zm.).
Ad. 10
Odpowiadając na powyższe przekazuję w załączniku żądane informacje w zakresie szkoleń za okres 2018-2020.
Ad. 11
Informuję, iż IOD wypełnia swoją funkcję w ramach monitorowania zgodności przetwarzania danych osobowych, a także informowania i doradzania administratorowi danych, w tym również podczas realizowanych przez IOD sprawdzeń. Informacja na temat procedur wykorzystywanych w tym zakresie została zawarta w załącznikach do zarządzenia Prezydenta Miasta Lublin nr 1/3/2017 z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin dostępnym w Biuletynie Informacji Publicznej pod linkiem : Zarządzenie Prezydenta Miasta Lublin
Ad 12.
W przypadku organu do którego skierowano wniosek procedurę wspólnej obsługi organizacyjno – administracyjnej jednostek organizacyjnych gminy reguluje uchwała nr 516/XIII/2020 Rady Miasta Lublin z dnia 30 stycznia 2020 r. w sprawie wspólnej obsługi organizacyjno-administracyjnej jednostek organizacyjnych Gminy Lublin zaliczanych do sektora finansów publicznych, która dostępna jest pod linkiem: Uchwała Rady Miasta Lublin oraz szczegółowe porozumienia powołujące się na ww. uchwałę zawierane pomiędzy organem do którego skierowano wniosek a jednostkami organizacyjnymi gminy.
Ad 13, 16, 17, 18.
Informacja na temat danych osobowych inspektora ochrony danych znajduje się w Biuletynie Informacji Publicznej pod linkiem: Inspektor ochrony danych osobowych
Zastępca Inspektora Ochrony Danych został wyznaczony zarządzeniem Prezydenta Miasta Lublin nr 117/4/2020 z dnia 16 kwietnia 2020 r. w sprawie wyznaczenia osoby zastępującej inspektora ochrony danych, link bezpośredni: Zarządzenie Prezydenta Miasta Lublin
Odnosząc się do wyznaczenia IOD informuję, że zarządzeniem nr 9/3/2018 z dnia 6 marca 2018 r. w sprawie powołania administratora bezpieczeństwa informacji w Urzędzie Miasta Lublin oraz upoważnienia go do wykonywania niektórych czynności z zakresu ochrony danych osobowych w imieniu administratora danych został powołany dyrektor Biura Bezpieczeństwa Informacji na administratora bezpieczeństwa informacji. Zgodnie z przepisem art. 158 ust.1ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j.) osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji,stała się inspektorem ochrony danych i mogła pełnić swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem administrator zawiadomił Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony w art. 10 ust. 1. Osoba, która stała się inspektorem ochrony danych na podstawie cytowanego przepisu mogła pełnić swoją funkcję także po dniu 1 września 2018 r., jeżeli do tego dnia administrator zawiadomił Prezesa Urzędu o jej wyznaczeniu w sposób określony w art. 10 ust.1
Prawodawca przewidział zatem przekształcenie z mocy prawa funkcji ABI w funkcję IOD w odniesieniu do osób, które w ostatnim dniu stosowania ustawy o ochronie danych osobowych z 1997 r. pełniły dotychczasową funkcję, wprowadzając okres przejściowy. Po upływie wskazanego w przepisach okresu ABI, który z mocy prawa stał się IOD, mógł nadal pełnić swoją funkcję, jeżeli do tego czasu administrator zawiadomił Prezesa Urzędu o jego wyznaczeniu, co miało miejsce w przypadku IOD wyznaczonego w Urzędzie Miasta Lublin.
Przekazuję w załączniku skan zawiadomienia o wyznaczeniu IOD do Prezesa Urzędu Ochrony Danych Osobowych w postaci dokumentu elektronicznego (wysłanego poprzez ePUAP) i podpisanego podpisem elektronicznym.
Informuję, iż Inspektor Ochrony Danych pełni funkcję Dyrektora Biura Bezpieczeństwa Informacji. Zakres wykonywanych czynności przez Inspektora Ochrony Danych (Dyrektora Biura) zawarty został w § 85 Regulaminu Organizacyjnego Departamentu Prezydenta stanowiącego Załącznik do zarządzenia nr 51/12/2018 Prezydenta Miasta Lublin z dnia 31 grudnia 2018 r. w sprawie nadania Regulaminu Organizacyjnego Departamentu Prezydenta (link bezpośredni: Regulamin Organizacyjny Departamentu Prezydenta).
W tym miejscu należy podkreślić, że informacje z zakresu prawa pracy, w tym zakresy czynności powszechnie stosowane w odniesieniu do pracowników wykonujących pracę umysłową, wręczane w momencie nawiązania stosunku pracy, albo już w momencie jego trwania nie podlegają udostępnieniu w trybie dostępu do informacji publicznej. Są to bowiem dokumenty wewnętrzne, niezawierające danych publicznych i tym samym nie stanowią informacji publicznej. Nie są skierowane do podmiotów zewnętrznych, ale dotyczą wyłącznie kwestii organizacji pracy w zakresie określania obowiązków i odpowiedzialności poszczególnych pracowników. Mają zatem walor organizacyjny i porządkowy (patrz Wyrok WSA w Warszawie z dnia 4 marca 2014 r. sygn. Akt. II SAB/Wa 695/13).
Inspektor ochrony danych odbył szkolenia z zakresu stosowania RODO, zabezpieczeń fizycznych, organizacyjnych oraz cyberbezpieczeństwa.
Natomiast dla pracowników UM Lublin inspektor ochrony danych prowadził szkolenia z zakresu systemu zarządzania bezpieczeństwem informacji w kontekście RODO, rejestru czynności przetwarzania, rejestru umów powierzenia, analizy ryzyka oraz indywidualne szkolenia i konsultacje dla poszczególnych komórek organizacyjnych. Ponadto w załączniku przekazuję wykaz pozostałych szkoleń z zakresu RODO wraz z zakresem i podmiotem prowadzącym szkolenia. Żądanie natomiast przez wnioskodawcę list obecności, potwierdzeń odbycia szkoleń przez pracowników nie stanowi informacji publicznej i nie podlega udostępnieniu w myśl ustawy o dostępie do informacji publicznej. Dokumenty te (listy obecności) nie zawierają danych publicznych i związane są z aktywnością organu związaną z wewnętrzną organizacją jego funkcjonowania. Mają walor wyłącznie organizacyjny oraz porządkowy i stanowią narzędzie pracodawcy w zakresie kierowania sposobem wykonywania pracy, sposobem dokumentowania odbycia przez pracownika szkoleń organizowanych w celu podnoszenia kwalifikacji zawodowych pracowników.
Nie każdy przejaw działalności i nie każdy wytworzony przez organ "dokument" zawiera informację publiczną, która podlega udostępnieniu w oparciu o przepisy ustawy o dostępie do informacji publicznej. Część dokumentów służących jedynie potrzebom podmiotu zobowiązanego, pomimo że związana jest z jego działalnością, określanych jako dokumenty wewnętrzne, nie jest informacją publiczną i nie podlega ujawnieniu. W przeciwieństwie do dokumentu urzędowego którym zgodnie z art. 6 ust. 2 ustawy o dostępie do informacji publicznej jest treść oświadczenia woli lub wiedzy, utrwalona i podpisana w dowolnej formie przez funkcjonariusza publicznego w rozumieniu przepisów kodeksu karnego, w ramach jego kompetencji, skierowana do innego podmiotu lub złożona do akt sprawy. Przez dokument wewnętrzny rozumie się taki dokument, który został wytworzony w zakresie działania danego podmiotu, ale nie przesądzający o kierunkach jego działania, a w przypadku list obecności ma charakter wyłącznie organizacyjny.
Ponadto informuję, że w przypadku szkoleń zewnętrznych listy obecności posiada organizator szkolenia i organ nie jest w posiadaniu takich list obecności.
Odnosząc się do żądania udostępnienia dokumentacji potwierdzającej realizacje zadań przez IOD od dnia 25 maja 2018 r (zadań wynikających z art. 39 RODO) należy stwierdzić, że jest ono nieprecyzyjne i zbyt ogólne, a co za tym idzie nie stanowi informacji publicznej, która mogłaby być udostępniona w trybie i na zasadach przewidzianych w ustawie o dostępie do informacji publicznej.
Przywołany przez wnioskodawcę przepis art 39 RODO określa jedynie zadania inspektora ochrony danych oraz wskazuje ogólnie sposób ich realizacji. Ustawodawca wylicza wprawdzie zadania takie jak : informowanie o obowiązkach dotyczących ochrony danych i doradzanie w tym zakresie, monitorowanie przestrzegania przepisów o ochronie danych i polityk ochrony danych, podział obowiązków, działania edukacyjne i audyty, udzielanie zaleceń co do oceny skutków dla ochrony danych i monitorowanie jej wykonania, współpracę z organem nadzorczym, pełnienie funkcji punktu kontaktowego dla organu nadzorczego i prowadzenie konsultacji z organem nadzorczym. W ust. 2 ww. przepisu ustawodawca określa sposób ogólny, w jaki inspektor ochrony danych powinien wykonywać swoje zadania. Zgodnie z tym przepisem przy wykonywaniu tych zadań inspektor powinien uwzględnić ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Prawodawca unijny nie wskazuje jednak konkretnych rozwiązań w zakresie wykonywania przez IOD swoich zadań, jak i nie wskazuje rodzaju dokumentów które powinny powstać w tym procesie oraz nie przesądza czy i w jaki sposób IOD ma dokumentować powierzone mu zadania.
Nie można uznać za prawidłowy wniosek o udostępnienie informacji publicznej, w którym wnioskodawca nie wskazuje konkretnie określonej informacji, lecz czyni to bardzo ogólnie. Wnioskodawca nie wskazał jakich konkretnie dokumentów się domaga tj. jaka konkretnie informacja publiczna pozostaje w kręgu jego zainteresowania. Wnioski tak sformułowane nie są żądaniem udostępnienia informacji publicznej i nie mogą być prawidłowo rozpoznane ze względu na niedokreślony zakres żądania. Żądanie udostępnienia „wszelkiej dokumentacji”, „dokumentacji na podstawie której dokonano czynności w ramach postępowania administracyjnego„ , czy tak jak w tym wypadku dokumentacji potwierdzającej wykonywanie szeroko zakreślonych w przepisie czynności - nie jest więc wnioskiem o dostęp do informacji publicznej i nie może być prawidłowo rozpoznany ze względu na nieokreślony zakres żądania. Tak sformułowany wniosek nie wskazuje na informacje publiczne, których udostępnienia domaga się wnioskodawca. Organ przychyla się do poglądu wyrażonego w orzecznictwie, że niesprecyzowane wnioski o informacje – obiektywnie niepozwalające ustalić treści żądania wnioskodawcy – nie stanowią wniosków o informację publiczną w rozumieniu art. 1 ust. 1 w zw. z art. 10 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, a w rezultacie nie podlegają rozpatrzeniu w jej trybie. W orzecznictwie sądów administracyjnych utrwalił się pogląd, zgodnie z którym przepisy Kodeksu postępowania administracyjnego stosuje się (z modyfikacjami) jedynie do decyzji o odmowie udostępnienia informacji publicznej oraz umorzeniu postępowania o udostępnienie informacji w przypadku określonym w art. 14 ust. 2 (art. 16 ust. 2 u.d.i.p.), a nie do całego postępowania zainicjowanego wnioskiem o udzielenie informacji publicznej, co oznacza, że w przypadku – jak miało to miejsce w niniejszej sprawie – nieprecyzyjnego i niekonkretnego sformułowania wniosku o udostępnienie informacji publicznej, której organ zamierza udzielić, nie ma on podstawy prawnej do żądania usunięcia braków podania poprzez jego doprecyzowanie, lecz winien udostępnić informacje w takim zakresie w jakim żądanie wynika z wniosku w sposób nie budzący wątpliwości.
Inaczej rzecz ujmując to na podmiocie wnoszącym o udostępnienie informacji publicznej ciąży obowiązek sformułowania wniosku w sposób na tyle jednoznaczny i precyzyjny, by mógł on zostać rozpoznany w pełnym oczekiwanym przez stronę zakresie (por. wyrok Wojewódzkiego Sądu Administracyjnego w Poznaniu w sprawie II SAB/Po 78/15).
Powyższe w żadnym stopniu nie narusza przy tym konstytucyjnego prawa obywatela do uzyskania dostępu do informacji o sprawach publicznych, albowiem nawet w sytuacji nieprecyzyjnego, względnie nieprzejrzystego sformułowania wniosku o udostępnienie informacji i nieuzyskania w następstwie tego całości oczekiwanej informacji, brak jest przeszkód dla ponownego złożenia wniosku o udostępnienie informacji, sformułowanego już w sposób umożliwiający jego jednoznaczne odczytanie.
Dokumentacja dotycząca realizacji zadań przez IOD, dotyczy m.in. realizowanych sprawdzeń, opinii dotyczących stosowanych zabezpieczeń. Dokumentacja prowadzona przez IOD zawiera zatem środki techniczne oraz organizacyjne, które mają zagwarantować ciągłą dostępność, rozliczalność oraz integralność danych. Ujawnienie tych informacji mogłoby mieć zatem negatywny wpływ na poziom bezpieczeństwa danych zapewniany przez organ do którego skierowano wniosek.
Odnosząc się również do udostępnienia dokumentacji w zakresie analizy ryzyka, rejestru czynności przetwarzania, rejestru kategorii przetwarzania informuję, iż dokumenty te mają charakter wewnętrzny - organizacyjny i porządkowy i nie mogą być udostępnione w trybie ustawy o dostępie do informacji publicznej. Stanowią one dokumentację wewnętrzną wspomagającą pracę administratora i inspektora ochrony danych w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia oraz gwarantowało realizację zasady rozliczalności przed organem nadzoru. Z uwagi na fakt, że powyższe rejestry zawierają ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, nie podlegają ujawnianiu i powszechnemu dostępowi. Żądane rejestry nie zawierają informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych. Są więc nośnikiem informacji o charakterze wewnętrznym, porządkowym, ewidencyjnym, który ma służyć zapewnieniu m.in. porządku i bezpieczeństwa. Takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu i jako takie nie zawierają informacji publicznej (patrz Wyrok WSA w Łodzi z dnia 12 lutego 2019 r. Sygn. Akt. II SAB/Łd 181/18).
Obowiązek informacyjny o który pyta wnioskodawca realizowany jest w formie elektronicznej oraz w formie pisemnej (tradycyjnej , za pośrednictwem operatora pocztowego), w zależności od świadczonych usług.
Obowiązek informacyjny realizowany jest zgodnie z dyspozycją art. 13 i 14 RODO, a treść klauzul informacyjnych zawiera informacje w zakresie realizacji wynikających z ww. przepisów obowiązków i dotyczy czynności przetwarzania danych ujętych w rejestrze czynności przetwarzania danych.
Poniżej przekazuję linki do przykładowych klauzul informacyjnych zamieszczonych na BIP i stronie internetowej UM Lublin.
- klauzula informacyjna - dzierżawa, najem nieruchomości,
- klauzula informacyjna - program rodzina trzy plus,
- klauzula informacyjna - zielony budżet obywatelski,
Zgodnie z ustawą o dostępie do informacji publicznej udostępnienie informacji publicznej w Biuletynie Informacji Publicznej wyłącza obowiązek ponownego jej udostępnienia na wniosek zainteresowanego w trybie art. 10 ust. 1 cyt. ustawy o dostępie do informacji publicznej (por. wyrok z dnia 1 grudnia 2005 r. Wojewódzkiego Sądu Administracyjnego w Gdańsku, sygn. akt II SA/Gd 436/05).
Informuję, że audyty/sprawdzenia z zakresu RODO realizowane są poprzez sprawdzenia planowe wynikające z planu sprawdzeń oraz incydentalne w przypadku zgłoszeń dokonanych przez pracowników komórek organizacyjnych urzędu bądź w przypadku zidentyfikowania problemów związanych z ochroną danych osobowych.
Zakres realizowanych sprawdzeń obejmuje m.in.
- kompletność zidentyfikowanych czynności przetwarzania danych osobowych,
- zakres i cel przetwarzania danych,
- przesłanki legalności przetwarzania danych osobowych, w tym danych szczególnej kategorii,
- zabezpieczenia: organizacyjne i techniczne danych osobowych,
- przekazywanie danych do państwa trzeciego, w tym do krajów spoza Unii Europejskiej,
- powierzenie przetwarzania danych osobowych (w tym zakres i poprawność konstruowania umów powierzenia przetwarzania danych),
- obowiązek informacyjny ( w zakresie realizacji).
- profilowanie,
- system informatyczny służący do przetwarzania danych osobowych.
Ad 14.
Przy pełnieniu funkcji Inspektora Ochrony Danych nie istnieje konflikt interesów.
Ad 15.
Informuję, iż organ do którego skierowano wniosek posiada dokumentację z zakresu pełnienia funkcji przez inspektora ochrony danych.
Plik odpowiedzi
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
27-05-2021 11:10 | Kamila Karamon | dodanie wersji dostępnej cyfrowo dokumentu | Wersja aktualnie wyświetlana |
11-05-2021 08:38 | Katarzyna Baranowska-Mysiak | Poprawiono literówkę | Zobacz |
13-01-2021 12:19 | Katarzyna Baranowska-Mysiak | Utworzono na podstawie akt sprawy nr KP-PP-I.1431.469.2020 | Zobacz |