Treść pytania
Wnoszę o udostępnienie informacji publicznej w zakresie udzielenia odpowiedzi na następujące pytania:
Pytania dotyczące Inspektora Danych Osobowych:
- Czy Państwa jednostka wyznaczyła Inspektora Ochrony Danych osobowych (dalej: IOD)?
- Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie prawnicze, doświadczenie, wiedza)?
- Czy IOD jest prawnikiem? Jakie posiada doświadczenie? Kto i w jaki sposób weryfikował kwalifikacje IOD?
- Czy podmiot – zgodnie ze stanowiskiem UODO – upublicznił dane Inspektora Ochrony Danych na swojej stronie internetowej (imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu)?
- Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
- W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
- Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
- W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych?
- W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
- Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (...) a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
- Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
- Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń i planów audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
- Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
- W jaki sposób IOD realizuje swoje zadania ( audyty, szkolenia, konsultacje). Wnosimy o dokumentację potwierdzająca realizację zadań przez IOD lub opis jego działań od dnia 25 maja 2018 r. (zadań wynikających z art. 39 rozporządzenia RODO).
- Czy zostały opracowane i wdrożone przepisy wewnętrzne, procedury, instrukcje i inne dokumenty dotyczące przetwarzania danych osobowych oraz bezpieczeństwa informacji. Jeśli tak to jakie?
- Wnosimy o opisanie aktualizacji dokumentacji RODO od 2018 r. W szczególności interesuje nas aktualizacja dokumentacji od roku 2022 r. (stanowiska ENISA).
- W jaki sposób w roku 2023 były realizowane szkolenia z zakresu: RODO, KRI bezpieczeństwa informacji, Cyberbezpieczeństwa. Wnoszę o informację na temat częstotliwości szkoleń oraz następujące informacje: data szkolenia, zakres szkolenia, osoba prowadząca, listy obecności, czas trwania.
- Czy IOD w ramach monitorowania przeprowadza regularne i systematyczne sprawdzenia/audyty w zakresie prawidłowości przetwarzania danych osobowych oraz przestrzegania rozporządzenia RODO, ustawy o.d.o. oraz regulacji wewnętrznych? Dokumentacja w tym zakresie (plany, sprawozdania, raporty, itp.).
- Czy IOD dokonuje audytów z zakresu ochrony danych osobowych z ZFSS?
- Czy z audytu ZFSS jest sporządzany raport?
Pytania z zakresu Krajowych Ram Interoperacyjności oraz pozostałych ustaw:
- Czy w jednostce przeprowadzony został audyt, o którym mowa w § 20 ust. 2 pkt. 14 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych? (Informacji proszę udzielić w formie tabeli w rozbiciu na lata w zakresie 2020 – 2023).
- Czy jednostka opracowała i wdrożyła procedury w zakresie obsługi sygnalistów na podstawie Dyrektywy Parlamentu Europejskiego i rady (UE) 2019/1937 z dnia 23 października 2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, która obowiązuje bezpośrednio w państwach członkowskich?
- Czy jednostka wdrożyła odpowiednie kanały zgłoszeń zapewniające anonimowość sygnalisty np. system informatyczny dotyczących zgłoszeń?
- Kto dokonuje obsługi zgłoszeń dotyczących sygnalistów?
- Czy jednostka dokonała zgłoszenia osób kontaktowych właściwemu CSIRT na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560)?
Data udzielenia odpowiedzi
Treść odpowiedzi
Odpowiadając na powyższe proszę przyjąć, co następuje w zakresie pytań dotyczących Inspektora Danych Osobowych, którym nadano numerację wynikającą z kolejno zadawanych pytań we wniosku (numerowanych oraz nienumerowanych).
Odpowiadając na pytania zawarte w pkt 1 i 4 wskazuję aktualnie obowiązujące zarządzenie Prezydenta Miasta Lublin w sprawie wyznaczenia inspektora ochrony danych znajdujące się w Biuletynie Informacji Publicznej Samorządu Miasta Lublin w zakładce: Prawo >> Zarządzenia Prezydenta >> 2020 >> Zarządzenie nr 112/4/2020 Prezydenta Miasta Lublin z dnia 16 kwietnia 2020 r. w sprawie wyznaczenia inspektora ochrony danych, bezpośredni link: Zarządzenie w sprawie IODNa stronie BIP Samorządu Miasta Lublin w zakładce: Ochrona danych osobowych » Inspektor ochrony danych, opublikowane zostały dane dotyczące Inspektora Danych Osobowych takie jak imię i nazwisko oraz adres e-mail, bezpośredni link: Dane IOD
Odpowiedź na pytanie 2 i 3 wniosku została opublikowana w BIP w zakładce Informacja publiczna » Wnioski o udostępnienie informacji publicznej » 2019 » 254. Wniosek o dostęp do informacji publicznej dotyczący funkcji inspektora ochrony danych w Urzędzie Miasta Lublin, bezpośredni link: Funkcja IOD
W uzupełnieniu do powyższego wskazuję, że określenie „wiedza fachowa” powinno być rozumiane jako wiedza specjalistyczna, przewyższająca znacznie poziom wiedzy osoby zatrudnionej przy przetwarzaniu danych i przeciętnego użytkownika systemów informatycznych. Wiedza ta powinna obejmować także praktyki dotyczące ochrony danych. Chodzi tu m.in. o znajomość procedur oraz technicznych i organizacyjnych środków służących zabezpieczeniu przetwarzanych danych. Zatem wiedza fachowa powinna być połączona z umiejętnościami wypełniania zadań inspektora ochrony danych, takich jak: informowanie o obowiązkach wynikających z przepisów o ochronie danych i doradzanie w tym zakresie; monitorowanie przestrzegania przepisów o ochronie danych oraz polityk ochrony danych, w tym podziału obowiązków, działania zwiększające świadomość, szkolenie personelu oraz powiązane z tym audyty; udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania; współpraca z organem nadzorczym; pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami. Ponadto wskazuję, iż IOD UM Lublin odbył szkolenia z zakresu stosowania RODO, zabezpieczeń fizycznych, organizacyjnych oraz cyberbezpieczeństwa.
Odnosząc się do pytań ujętych w punktach 5-6 wniosku wskazuję, że zgodnie art. 38 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) do należytego wykonywania zadań przez inspektora ochrony danych w danej jednostce nie wystarczy, że będzie on włączany we wszystkie sprawy dotyczące ochrony danych osobowych, potrzebne jest także wsparcie inspektora w realizacji poszczególnych zadań ze strony administratora lub podmiotu przetwarzającego.
Zgodnie z powołanym powyżej przepisem, wsparcie to obejmuje w szczególności zapewnienie inspektorowi ochrony danych:
- zasobów niezbędnych do wykonania jego zadań,
- dostępu do danych osobowych i operacji przetwarzania, a także
- zasobów niezbędnych do utrzymania jego wiedzy fachowej.
Jeżeli chodzi o pierwszy ze wskazanych powyżej rodzajów wsparcia, tj. zapewnienie IOD zasobów niezbędnych do wykonania jego zadań, przyjmując, iż chodzi tu o zasoby stricte techniczne, wskazuję, że administrator zapewnia zatrudnionemu w Urzędzie Miasta Lublin IOD odpowiednie pomieszczenie, sprzęt potrzebny do wykonywania jego zadań, np. komputery i materiały biurowe, a także zasoby kadrowe, tj. zespół osób przydanych do pomocy IOD w realizacji jego zadań.
Odnosząc się do drugiego rodzaju wsparcia, administrator gwarantuje IOD dostęp do danych osobowych i operacji przetwarzania oraz czyni starania aby nie napotykał on na przeszkody w swobodnym uzyskiwaniu dostępu do danych i operacji przetwarzania, które pozostają w związku z realizacją jego zadań.
Mając na uwadze trzeci rodzaj wsparcia, administrator w miarę swoich możliwości zapewnienia IOD zarówno zasoby czasowe jak i finansowe niezbędne do pogłębiania wiedzy specjalistycznej, kształcenie i podnoszenia kwalifikacji w zakresie danych osobowych poprzez podejmowanie działań mających na celu zapewnienie inspektorowi udziału w różnych formach doskonalenia zawodowego. IOD ma ponadto zapewniony dostęp do LEX oraz dedykowanego modułu Lex – ochrona danych.
Odpowiedź na pkt 7 dostępna jest w BIP w zakładce Informacja publiczna » Wnioski o udostępnienie informacji publicznej » 2019 » 390. Wniosek o dostęp do informacji publicznej dotyczący funkcji Inspektora Ochrony Danych Osobowych, bezpośredni link: Funkcja IOD
W uzupełnieniu do powyższego wskazuję, że IOD jest kierownikiem powołanego w Urzędzie Miasta Lublin Biura Bezpieczeństwa Informacji. Szczegółowe zadania Biura zawarte zostały w § 42 Regulaminu Organizacyjnego Urzędu Miasta Lublin stanowiącego załącznik do zarządzenia nr 32/12/2018 z dnia 21 grudnia 2018 r. w sprawie nadania Regulaminu Organizacyjnego Urzędu Miasta Lublin z późn. zm., link bezpośredni: Regulamin Organizacyjny
Odnosząc się do żądania ujętego w punkcie 8 wniosku tj. w jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych informuję, że powyższe odbywa się zgodnie z zapisami Polityki Bezpieczeństwa Danych Osobowych. Kierownicy komórek organizacyjnych zobowiązani są do rejestracji każdej nowej czynności przetwarzania danych (także przeprowadzenia analizy ryzyka lub DPIA) i przekazywania jej do BI w celu dokonania uzgodnień zgodności przetwarzania danych osobowych. Odnośnie stosowania określonych w RODO zasad privacy be design oraz privacy by default kierownicy komórek organizacyjnych posiadają możliwość zaciągnięcia opinii u IOD.
Dodatkowo pracownicy UML konsultują z BI procesy w których przetwarzane są dane osobowe w celu zapewnienia m.in. zgodności z prawem (w 2022 r. zostały zarejestrowane 103 sprawy doradcze). Ponadto IOD raz w miesiącu uczestniczy w spotkaniach najwyższego kierownictwa na których poruszane są także kwestie związane z ochroną danych osobowych.
W zakresie pytania ujętego w punkcie 9 wniosku wskazuję, że IOD oraz pracownicy BI posiadają stosowne upoważnienia w tym zakresie. Rozwiązania techniczne i organizacyjne nie utrudniają IOD/pracownikom BI dostępu do danych osobowych oraz systemów teleinformatycznych w związku z realizacją obowiązków służbowych.
Jeżeli chodzi o operacje przetwarzania – IOD/BI prowadzi zbiorczy rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii przetwarzania, zasilany przez wszystkie komórki organizacyjne UML.
Dodatkowo wskazuję, że corocznie przeprowadzany jest przegląd i aktualizacja RCP i RKP, a także analiza ryzyka. BI koordynuje te czynności i sporządza zbiorcze dokumenty w ramach UML.
Odnosząc się do pytania ujętego w punkcie 10 wniosku tj. „czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (...) a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?” informuję, że zostały one przewidziane w Regulaminie Organizacyjnym Urzędu Miasta Lublin oraz Polityce Bezpieczeństwa Danych Osobowych, ale także w innych dokumentach wchodzących w skład Polityki Bezpieczeństwa Informacji.
Odnosząc się do pytania ujętego w punkcie 11 wniosku tj. „czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów? informuję, że mechanizmy, o których mowa powyżej zostały wprowadzone w Polityce Bezpieczeństwa Danych Osobowych.
W kwestii pytania ujętego w punkcie 12 wniosku wskazuję, iż IOD UM Lublin wykonuje swoje zadania w siedzibie administratora.
Odpowiadając na pytanie ujęte w punkcie 13 wniosku tj. „czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń i planów audytów?” informuję, że IOD opracował plan swojej pracy. Jednocześnie wskazuję, że szkolenia wbudowane są w proces rekrutacji nowych pracowników.
Odnosząc się do pytania 14 wniosku tj. „czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny” informuję, że plan sprawdzeń zgodnie z przyjętą procedurą jest przekazywany do Administratora do 31 stycznia każdego roku.
Odnosząc się do pytania: czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami? informuję, że tak sformułowane pytanie nie stanowi wniosku o dostęp do informacji publicznej, a zatem nie mogą być zrealizowane na zasadach i w trybie przewidzianym w ustawie o dostępnie do informacji publicznej.
Na wstępie należy wskazać, że Konstytucja Rzeczypospolitej Polskiej w art. 61 ust. 1 stanowi, że obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Konstytucyjne prawo do informacji publicznej służy realizacji jednej z podstawowych wartości państwa demokratycznego – tj. jawności działania instytucji publicznych.
Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu (ust. 2). Ograniczenie prawa, o którym mowa w ust. 1 i 2, może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa (ust. 3). Ustawodawca konstytucyjny przewidując prawo do uzyskania informacji publicznych wskazał jednocześnie w art. 61 ust. 4 Konstytucji, iż tryb ich udzielania określają ustawy.
Jedną ze wspomnianych wyżej ustaw jest ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Ustawa ta przede wszystkim reguluje prawo dostępu do informacji pojmowanej jako prawo do uzyskania określonej wiadomości lub wiedzy, pewnego opisu rzeczywistości, faktu. Przedmiotem żądania musi być informacja mająca charakter publiczny w rozumieniu art. 1 ust. 1 w związku z art. 3 ust. 1 i 2 u.d.i.p., generalnie dotyczy to informacji publicznej zawierającej aktualną wiedzę o sprawach publicznych, w tym w szczególności o sprawach wymienionych w art. 6 u.d.i.p.
W orzecznictwie sądów administracyjnych podkreśla się, że informacją publiczną będzie „każda wiadomość wytworzona lub odnoszona do władz publicznych, a także wytworzona lub odnoszona do innych podmiotów wykonujących funkcje publiczne w zakresie wykonywania przez nie zadań władzy publicznej i gospodarowania mieniem komunalnym lub mieniem Skarbu Państwa”. Informacja publiczna musi się jednak odnosić do faktów. Zgodnie z orzecznictwem sądów administracyjnych, bliższa analiza art. 6 u.d.i.p. wskazuje, że wnioskiem w świetle tej ustawy może być objęte jedynie pytanie o określone fakty, o stan określonych zjawisk na dzień udzielenia odpowiedzi.
Należy mieć również na uwadze to, że ustawa o dostępie do informacji publicznej nie może stanowić narzędzia, dzięki któremu wnioskodawca domaga się od organu zajęcia stanowiska w danej kwestii czy też dokonania oceny zaistniałego stanu faktycznego
(w tym przypadku odniesienia się do kwestii „dysponowania wystarczającymi zasobami i uprawnieniami”).
W tym miejscu wskazuję, że zgodnie z orzecznictwem sądów administracyjnych nie mają charakteru informacji publicznej wnioski, w ramach których wnioskodawca domaga się od organu administracji wyrażenia opinii, czy też zajęcia stanowiska w jakieś sprawie, czy też dokonywania interpretacji.
Odpowiadając na pytanie 15 wniosku tj. „jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów” informuję, że jest to wykonywanie niezwłocznie po zakończeniu sprawdzenia. Każde sprawozdanie zostaje zatwierdzone przez Administratora.
Odpowiadając na pytanie 16 wniosku tj. „czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?” informuję, że w 2020 r. realizacja funkcji IOD podlegała audytowi wewnętrznemu przeprowadzonemu przez Wydział Audytu i Kontroli, a także w 2019 r. kontroli przeprowadzonej przez UODO. Ponadto w ramach kontroli zarządczej IOD/dyrektor BI przygotowuje sprawozdanie z realizacji celów.
Odnosząc się do pytania „w jaki sposób IOD realizuje swoje zadania (audyty, szkolenia, konsultacje)” informuję, że sprawdzenia/audyty opisane są w Procedurze sprawdzeń, który stanowi dokument o charakterze wewnętrznym, a co za tym idzie jego treść nie podlega udostępnieniu w trybie i na zasadach przewidzianych w ustawie o dostępie do informacji publicznej.
Odnosząc się do żądania udostępnienia dokumentacji potwierdzającej realizacje zadań przez IOD od dnia 25 maja 2018 r (zadań wynikających z art. 39 RODO) należy stwierdzić, że jest ono nieprecyzyjne i zbyt ogólne, a co za tym idzie nie stanowi informacji publicznej, która mogłaby być udostępniona w trybie i na zasadach przewidzianych w ustawie o dostępie do informacji publicznej.
Przywołany przepis art 39 RODO określa jedynie zadania inspektora ochrony danych oraz wskazuje ogólnie sposób ich realizacji. Ustawodawca wylicza wprawdzie zadania takie jak: informowanie o obowiązkach dotyczących ochrony danych i doradzanie w tym zakresie, monitorowanie przestrzegania przepisów o ochronie danych i polityk ochrony danych, podział obowiązków, działania edukacyjne i audyty, udzielanie zaleceń co do oceny skutków dla ochrony danych i monitorowanie jej wykonania, współpracę z organem nadzorczym, pełnienie funkcji punktu kontaktowego dla organu nadzorczego i prowadzenie konsultacji z organem nadzorczym. W ust. 2 ww. przepisu ustawodawca określa sposób ogólny, w jaki inspektor ochrony danych powinien wykonywać swoje zadania. Zgodnie z tym przepisem przy wykonywaniu tych zadań inspektor powinien uwzględnić ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Prawodawca unijny nie wskazuje jednak konkretnych rozwiązań w zakresie wykonywania przez IOD swoich zadań, jak i nie wskazuje rodzaju dokumentów które powinny powstać w tym procesie oraz nie przesądza czy i w jaki sposób IOD ma dokumentować powierzone mu zadania.
Nie można uznać za prawidłowy wniosek o udostępnienie informacji publicznej, w którym wnioskodawca nie wskazuje konkretnie określonej informacji, lecz czyni to bardzo ogólnie. Wnioskodawca nie wskazał jakich konkretnie dokumentów się domaga tj. jaka konkretnie informacja publiczna pozostaje w kręgu jego zainteresowania. Wnioski tak sformułowane nie są żądaniem udostępnienia informacji publicznej i nie mogą być prawidłowo rozpoznane ze względu na niedokreślony zakres żądania.
Żądanie udostępnienia „wszelkiej dokumentacji”, „dokumentacji na podstawie której dokonano czynności w ramach postępowania administracyjnego„ , czy tak jak w tym wypadku dokumentacji potwierdzającej wykonywanie szeroko zakreślonych w przepisie czynności – nie jest więc wnioskiem o dostęp do informacji publicznej i nie może być prawidłowo rozpoznany ze względu na nieokreślony zakres żądania. Tak sformułowany wniosek nie wskazuje na informacje publiczne, których udostępnienia domaga się wnioskodawca.
Organ przychyla się do poglądu wyrażonego w orzecznictwie, że niesprecyzowane wnioski o informacje – obiektywnie niepozwalające ustalić treści żądania wnioskodawcy – nie stanowią wniosków o informację publiczną w rozumieniu art. 1 ust. 1 w zw. z art. 10 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, a w rezultacie nie podlegają rozpatrzeniu w jej trybie.
Wskazuję, że to na podmiocie wnoszącym o udostępnienie informacji publicznej ciąży obowiązek sformułowania wniosku w sposób na tyle jednoznaczny i precyzyjny, by mógł on zostać rozpoznany w pełnym oczekiwanym przez stronę zakresie.
Powyższe w żadnym stopniu nie narusza przy tym konstytucyjnego prawa obywatela do uzyskania dostępu do informacji o sprawach publicznych, albowiem nawet w sytuacji nieprecyzyjnego, względnie nieprzejrzystego sformułowania wniosku o udostępnienie informacji i nieuzyskania w następstwie tego całości oczekiwanej informacji, brak jest przeszkód dla ponownego złożenia wniosku o udostępnienie informacji, sformułowanego już w sposób umożliwiający jego jednoznaczne odczytanie.
Odnosząc się do pytania ujętego w punkcie 18 wniosku tj. „czy zostały opracowane i wdrożone przepisy wewnętrzne, procedury i instrukcje i inne dokumenty dotyczące przetwarzania danych osobowych oraz bezpieczeństwa informacji” informuję, że zostały
one określone w Polityce Bezpieczeństwa Informacji.
Odnosząc się do żądania ujętego w punkcie 19 wniosku informuję, że dokumentacja ma charakter wewnętrzny, a co za tym idzie jego treść nie podlega udostępnieniu w trybie przepisów ustawy o dostępie do informacji publicznej. W tym miejscu wskazuję, iż są to kwestie związane z wewnętrznym funkcjonowaniem organu administracyjnego, z techniczną realizacją zadań, a nie z jego "zewnętrzną" działalnością skierowaną do podmiotów pozostających poza strukturami administracji publicznej. Z tych też względów żądane dane nie mogą być udostępnione w trybie przepisów ustawy o dostępie do informacji publicznej.
Odnosząc się do pytania ujętego w punkcie 21 wniosku informuje, że IOD w ramach monitorowania przeprowadza regularne i systematyczne sprawdzenia/audyty, o których mowa w pytaniu.
W tym miejscu wskazuję, iż żądane przez Pana dokumenty, tj. opracowane przez IOD plany dotyczące szkoleń, przeprowadzonych konsultacji oraz organizowanych audytów, wyniki z przeprowadzonych audytów, a także dokumentacja potwierdzająca realizację zadań wynikających z art. 39 rozporządzenia RODO są dokumentami, które maja na celu opracowanie konkretnych procedur poprzez zachowanie określonych standardów i norm w działaniach urzędu oraz jego pracowników, lecz nie przesądzają o kierunkach jego działania i podejmowanych decyzjach. Przedmiotowe dokumenty nie są tym samym skierowane do podmiotów zewnętrznych i nie wyrażają oficjalnego stanowiska Urzędu w sprawach dotyczących realizowanych przez niego zadań publicznych lub posiadanego majątku publicznego. Dlatego dokumenty te nie zawierają informacji publicznych w rozumieniu art. 1 ust. 1 u.d.i.p. i jako takie nie podlegają udostępnieniu w trybie u.d.i.p.
Ponadto wskazuję, że nie każdy dokument wytworzony przez podmioty zobowiązane do udzielenia informacji publicznej staje się informacją publiczną. Dokumenty, które mają charakter roboczy, koncepcyjny, wytworzony tylko na potrzeby danego podmiotu nie podlegają udostępnieniu w trybie u.d.i.p.
Zgodnie z orzecznictwem sądów administracyjnych, dokumenty wytworzone przez podmiot zobowiązany do udzielenia informacji publicznej, ale służące jedynie poprawie jego funkcjonowania, nie są informacją publiczną.
Dodatkowo wskazuję, iż powyższe dokumenty, przede wszystkim procedura określająca podstawowe zasady wykonywania sprawdzeń, inspekcji (audytów), których celem jest ocena funkcjonowania systemu ochrony danych osobowych pod kątem jego zgodności z wymaganiami prawa powszechnie obowiązującego, aktami prawa wewnętrznego, odpowiednimi politykami bezpieczeństwa, kodeksami stanowi załącznik do zarządzenia nr 1/3/2017 Prezydenta Miasta Lublin z dnia 1 marca 2017 r., w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin, którym wprowadzono Politykę Bezpieczeństwa Informacji Urzędu Miasta Lublin zgodną z normą PN-ISO/IEC 27001: 2014-12 wraz z dokumentacją Systemu Zarządzania Bezpieczeństwem Informacji.
Treść zarządzenia wraz z listą dokumentów stanowiących załączniki do ww. aktu dostępna jest w BIP Samorządu Miasta Lublin pod linkiem: Polityka Bezpieczeństwa Informacji
W tym miejscu wskazuję, iż informacje dotyczące szkoleń z zakresu RODO, KRI bezpieczeństwo informacji oraz Cyberbezpieczeństwo organizowane dla pracowników Urzędu Miasta Lublin były już przedmiotem wniosku o udostępnienie informacji publicznej, którego odpowiedź została opublikowana na stronie BIP Samorządu Miasta Lublin w zakładce: Informacja publiczna » Wniosek o udostępnienie informacji publicznej » 2023 » 379. Wniosek o dostęp do informacji publicznej dotyczący polityki zarządzania bezpieczeństwem informacji, bezpośredni link: Polityka Zarządzania Bezpieczeństwem Informacji
W uzupełnieniu do powyższej odpowiedzi informuję, iż w 2023 r. na wniosek dyrektorów poszczególnych Wydziałów/Biur tut. Urzędu skierowano pracowników zaangażowanych w proces przetwarzania informacji na nw. szkolenia i konferencje, które prowadzone były przez podmioty zewnętrzne:
- 28 września 2023 r. – Szkolenie „RODO a BIP,
- 23-25 października 2023 r. – Konferencja – VI Forum informacji i ochrony danych osobowych.
Natomiast żądane przez Wnioskodawcę listy obecności uczestników ww. szkoleń nie stanowią informacji publicznej i nie podlegają udostępnieniu w myśl ustawy o dostępie do informacji publicznej. Dokumenty te (listy obecności) nie zawierają danych publicznych i związane są z aktywnością organu związaną z wewnętrzną organizacją jego funkcjonowania. Mają walor wyłącznie organizacyjny oraz porządkowy i stanowią narzędzie pracodawcy w zakresie kierowania sposobem wykonywania pracy, sposobem dokumentowania odbycia przez pracownika szkoleń organizowanych w celu podnoszenia kwalifikacji zawodowych pracowników. Ponadto informuję, że w przypadku szkoleń zewnętrznych listy obecności posiada organizator szkolenia i organ nie jest w posiadaniu takich list obecności. Dokumenty służące jedynie potrzebom podmiotu zobowiązanego, pomimo że związane są z jego działalnością, określane jako dokumenty wewnętrzne, nie stanowią informacji publicznej i nie podlegają ujawnieniu.
W zakresie pytania ujętego w punkcie 22 wniosku wskazuję, iż Pracodawca na podstawie art. 8 ust. 1d ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2023 r., poz. 998 – dalej: „zfśs”) wywiązuje się z obowiązku ustawowego i przeprowadza raz w roku przegląd dokumentów gromadzonych w związku z udzielaniem świadczeń z Funduszu w celu ustalenia niezbędności ich dalszego przechowywania w celach realizacji obowiązków wynikających z ww ustawy. Z przytoczonego przez Wnioskodawcę przepisu nie wynika obowiązek przeprowadzania audytu i sporządzenia z niego raportu.
Odnosząc się do pytań z drugiej części wniosku, tj. pytań związanych z Krajową Ramą Interoperacyjności informuję, iż procedury w zakresie obsługi sygnalistów w tut. jednostce były już przedmiotem wniosku o udostępnienie informacji publicznej, a treść odpowiedzi na ww. wniosek została opublikowana na stronie BIP Samorządu Miasta Lublin w zakładce: Informacja publiczna » Wnioski o udostępnienie informacji publicznej » 2022 » 184. Wniosek
o dostęp do informacji publicznej dotyczący obsługi prawnej, IOD, audytu bezpieczeństwa informacji, sygnalistów, bezpośredni link: IOD, audyt, sygnaliści
W tym miejscu informuję, iż zgodnie z § 5 ust. 2 Procedury zgłaszania przypadków nieprawidłowości oraz ochrony osób dokonujących zgłoszeń stanowiącej załącznik nr 1 do Zarządzenia nr 38/12/2021 Prezydenta Miasta Lublin z dnia 17 grudnia 2021 r. w sprawie wprowadzenia w Urzędzie Miasta Lublin Procedury zgłaszania przypadków nieprawidłowości oraz ochrony osób dokonujących zgłoszeń, tworzy się w urzędzie poufne kanały zgłoszeń poprzez:
- link zamieszczony na stronie internetowej Urzędu i w wewnętrznej sieci intranet odsyłający do dedykowanego rozwiązania technicznego zabezpieczonego przed dostępem osób innych, niż wskazane w ust. 1;
- pismo w zamkniętej kopercie oznaczonej „zgłoszenie/sygnał” składanej bezpośrednio do pracownika Wydziału Audytu i Kontroli, o którym mowa w ust. 1;
- osobiście lub telefoniczne do pracownika Wydziału Audytu i Kontroli, o którym mowa w ust. 1. Procedury.
Ponadto wskazuję, iż cytowany powyżej akt wewnętrzny w § 5 ust. 1 wskazał jednoznacznie, iż do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób zgłaszających i osób, których dotyczy zgłoszenie upoważnieni są wyłącznie upoważnieni imiennie przez Prezydenta Miasta Lublin pracownicy Wydziału Audytu i Kontroli.
Mając na uwadze powyższe wyjaśniam, iż zgodnie Zarządzeniem nr 105/1/2022 Prezydenta Miasta Lublin z dnia 28 stycznia 2022 r. zmieniającego zarządzenie nr 51/12/2018 Prezydenta Miasta Lublin z dnia 31 grudnia 2018 r. w sprawie nadania Regulaminu Organizacyjnego Departamentu Prezydenta, Wydział Audytu i Kontroli został z mocy prawa przekształcony w Wydział Kontroli i Nadzoru Właścicielskiego, tym samych to pracownicy nowo utworzonego Wydziału są obecnie upoważnieni do podejmowania działań związanych z procedurą obsługi sygnalistów. Treść ww. zarządzenia opublikowana jest w BIP Samorządu Miasta Lublin w zakładce: Prawo » Zarządzenia Prezydenta » 2022, bezpośredni link: Regulamin Departamentu Prezydenta
Jednocześnie wskazuję, iż Prezydent Miasta Lublin zarządzeniem nr 72/2/2022 z dnia 15 lutego 2022 r. upoważnił Zastępcę Dyrektora Wydziału Kontroli i Nadzoru Właścicielskiego do przyjmowania i weryfikacji zgłoszeń i podejmowania działań następczych oraz przetwarzania danych osobowych osób zgłaszających i osób, których dotyczy zgłoszenie, zgodnie z trybem przewidzianym w Procedurze zgłaszania przypadków nieprawidłowości oraz ochrony osób dokonujących ww. zgłoszeń.
W nawiązaniu do treści żądania dotyczącego udostępnienia informacji o zgłoszeniu przez tut. urząd osób kontaktowych właściwemu CSIRT informuję, iż w BIP Samorządu Miasta Lublin opublikowana została odpowiedź ww. zakresie, zakładka: Informacja publiczna » Wnioski o udostępnienie informacji publicznej » 2021 » 67. Wniosek o dostęp do informacji publicznej dotyczący krajowego systemu cyberbezpieczeństwa, bezpośredni link: Krajowy system cyberbezpieczeństwa
Ustosunkowując się do pozostałej treści żądania w części 2 złożonego przez Pana wniosku informuję, iż audyt, o którym mowa w § 20 ust. 2 pkt. 14 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych został przeprowadzony w tutejszej jednostce przez audytorów wewnętrznych (tj. pracowników zatrudnionych w tut. urzędzie) w następujących latach:
- rok 2020 – data audytu 27 kwietnia 2020 r.,
- rok 2021 – data audytu 26 października 2021 r.,
- rok 2022 – data audytu 13 lipca 2022 r.,
- rok 2023 – data rozpoczęcia audytu 13 listopada 2023 r. (zadanie jest w trakcie realizacji, sprawozdanie z wykonania audytu zostanie sporządzone niezwłocznie po zakończeniu czynności audytowych).
Odnosząc się w niniejszej odpowiedzi do treści opublikowanych w Biuletynie Informacji Publicznej (BIP) informuję, że jest on podstawowym źródłem zapoznania się z informacją publiczną i udostępnienie informacji w BIP wyłącza obowiązek ponownego jej udostępnienia na wniosek zainteresowanego, czy w innych przewidzianych w ustawie formach (np. wyłożenia, wywieszenia).
Przepis art. 10 ust. 1 ustawy o dostępie do informacji publicznej wprowadza tzw. negatywną klauzulę wnioskowego trybu udzielania informacji. Oznacza to, że adresat wniosku zwolniony jest z obowiązku udostępnienia informacji, jeżeli została ona ujawniona w BIP lub portalu danych.
W przypadku złożenia wniosku podmiot zobowiązany zawiadamia wnioskodawcę o braku stosowania trybu wnioskowego w związku z ujawnieniem żądanej informacji w BIP. Oznacza to, że podmiot zobowiązany nie ma obowiązku udostępniać informacji publicznej w formie i w sposób wskazany we wniosku jedynie wówczas, gdy znajduje się ona w BIP, zaś zakres żądania sformułowany we wniosku o jej udostępnienie i zakres informacji znajdujący się w BIP pozwala na stwierdzenie, że są one identyczne.
Dodać należy również, że udostępnienie informacji publicznej w BIP zwalnia podmiot zobowiązany z obowiązku potwierdzania na piśmie jej istnienia. W przypadku informacji udostępnionej w BIP na dysponencie tej informacji nie spoczywa obowiązek dokonywania wydruków z Biuletynu i przesyłania ich żądającemu informacji.
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
14-12-2023 09:20 | Ewelina Misiec | utworzono na podstawie sprawy KP-PP-I.1431.496.2023 | Wersja aktualnie wyświetlana |