Treść pytania
Wnoszę o udostępnienie informacji publicznej w zakresie udostępnienia informacji dotyczących m.in. Inspektora Ochrony Danych Osobowych, audytów z Krajowych Ram Interoperacyjności oraz udzielenia odpowiedzi na następujące pytania:
- Kiedy ostatni raz podmiot przeprowadził okresową analizę ryzyka utraty integralności, dostępności lub poufności?
- Kiedy ostatni raz Kierownik JST zapewnił szkolenie osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem:
- zagrożenia bezpieczeństwa informacji;
- skutków naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialności prawnej;
- stosowania środków zapewniających bezpieczeństwo informacji, w tym urządzeń i oprogramowania minimalizującego ryzyko błędów ludzkich.
- Wnosimy o wskazanie danych kontaktowych Inspektora Ochrony Danych Osobowych.
- Czy Inspektor Ochrony Danych osobowych ma odpowiednie kwalifikacje? Czy korzystają Państwo z podmiotu zewnętrznego w zakresie funkcji Inspektora Ochrony Danych (IOD)? Jeżeli tak, to proszę o:
- wykazanie kwalifikacji i wiedzy prawniczej IOD. Czy IOD jest prawnikiem?
- termin i zakres przeprowadzenia ostatniego szkolenia RODO dla pracowników w roku 2023;
- terminu i zakresu przeprowadzenia ostatniego szkolenia z KRI dla pracowników w roku 2023;
- podanie terminu i zakresu przeprowadzenia ostatniego szkolenia z cyberbezpieczeństwa dla pracowników w roku 2023;
- wskazanie kto w/w szkolenia przeprowadza?
- podanie terminu i zakresu ostatniego audytu jakie przeprowadził Inspektor Ochrony danych w roku 2023;
- podanie czy na bieżąco Inspektor Ochrony Danych sprawdza dokumenty tj. projekty umów, informacji udostępnianych w Biuletynie Informacji Publicznych, projekty przepisów wewnętrznych związanych z udostępnianiem bądź pozyskiwaniem danych osobowych?
- kto dokonuje audytów z zakresu ochrony danych osobowych z ZFSS? Czy z audytu ZFSS jest sporządzany raport? Czy powyższe zadanie realizuje Inspektor Ochrony Danych?
- W jaki sposób IOD realizuje swoje zadania (audyty, szkolenia, konsultacje)? Wnosimy o dokumentację potwierdzająca realizację zadań przez IOD lub opis jego działań od dnia 25 maja 2018 roku.
- Czy w roku 2023 był u Państwa przeprowadzony audyt z Krajowych Ram Interoperacyjności? Jeżeli tak, to proszę podać:
- wykonawcę – firma zewnętrzna czy pracownik instytucji;
- termin ostatniego audytu KRI;
- zakres audytu;
- opisanie w skrócie dokumentacji SZBI.
- Czy w roku 2023 w podmiocie był przeprowadzany Audyt bezpieczeństwa informacji wynikającego z Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2017.2247 t.j. z dnia 2017.12.05) na zgodność z § 20 ust. 2 pkt 14 KRI?
- Czy został opracowany raport z audytu dt. Zarządzania Bezpieczeństwem Informacji w obszarach zabezpieczeń organizacyjnych, technicznych i fizycznych.
Data udzielenia odpowiedzi
Treść odpowiedzi
Odpowiadając na powyższe proszę przyjąć, co następuje.
Odpowiedź na pytanie numer 1
Informuję, że okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji w Urzędzie Miasta Lublin została przeprowadzona ostatni raz w 2023 roku.
Odpowiedź na pytanie numer 2
Informuję, iż zapytanie o tożsamej treści było już przedmiotem wniosku o udostępnienie informacji publicznej. Treść udzielonej przez organ odpowiedzi pozostaje w dalszym ciągu aktualna oraz została opublikowana w Biuletynie Informacji Publicznej Samorządu Miasta Lublin w zakładce: Informacja publiczna » Wniosek o udostępnienie informacji publicznej » 379. Wniosek o dostęp do informacji publicznej dotyczący polityki zarządzania bezpieczeństwem informacji, bezpośredni link: Wniosek dotyczący polityki zarządzania bezpieczeństwem informacji (odpowiedź na pytanie drugie wniosku).
W uzupełnieniu do powyższego wskazuję, że Wydział Organizacji Urzędu Miasta Lublin w imieniu pracodawcy w 2023 roku skierował pracowników na niżej wymienione szkolenia i konferencje, które prowadzone były przez podmioty zewnętrzne:
- 28 września 2023 r. – Szkolenie „RODO a BIP”,
- 23-25 października 2023 r. – Konferencja – VI Forum informacji i ochrony danych osobowych.
- 29-30 listopada 2023 r. – Warsztaty „System Trend Micro Vision One” – zarządzanie atakami – raporty dla kadry zarządzającej
- 22 listopada 2023 r. – Konferencja pt: „Nowe technologie a ochrona danych osobowych”
- 22-23 listopada 2023 r. – Konferencja Advanced Threat Summit 2023
Odpowiedź na pytanie numer 3
Wskazuję, że dane kontaktowe Inspektora Ochrony Danych Osobowych zamieszczone są na stronie Biuletynu Informacji Publicznej Samorządu Miasta Lublin w zakładce: Ochrona danych osobowych » Inspektor ochrony danych, bezpośredni link: Inspektor Ochrony Danych Osobowych
Odpowiedź na pytanie numer 4
Informuję, że Inspektor Ochrony Danych Osobowych posiada odpowiednie kwalifikacje. Zgodnie z art 37 ust. 5 RODO, informuję, że przepis ust. 5 przywołanego artykułu określa wymogi odnoszące się do osoby, która może być wyznaczona do pełnienia funkcji inspektora ochrony danych. Zgodnie z treścią tego przepisu podstawą oceny powinny być kwalifikacje zawodowe osoby mającej pełnić funkcję inspektora ochrony danych, w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora ochrony danych (o których mowa w art. 39 RODO). Przepisy rozporządzenia nie przewidują szczególnych wymogów wobec kandydata na inspektora ochrony danych, jakie wobec ABI przewidywał art. 36a ust. 5 ustawy o ochronie danych osobowych z 1997 r. (pełna zdolność do czynności prawnych, korzystanie w pełni z praw publicznych oraz niekaralność za umyślne przestępstwo); prawodawca unijny ograniczył się do wymogów związanych z wiedzą, doświadczeniem i umiejętnościami w zakresie ochrony danych osobowych.
Wskazuję, że Inspektora Ochrony Danych został wyznaczony na mocy zarządzenia nr 112/4/2020 Prezydenta Miasta Lublin z dnia 16 kwietnia 2020 r. w sprawie wyznaczenia inspektora ochrony danych. Treść zarządzenia jest publicznie dostępna w Biuletynie Informacji Publicznej Samorządu Miasta Lublin w zakładce: Prawo » Zarządzenia Prezydenta » 2020 » Zarządzenie nr 112/4/2020 Prezydenta Miasta Lublin z dnia 16 kwietnia 2020 r. w sprawie wyznaczenia inspektora ochrony danych, bezpośredni link: Zarządzenie
Biorąc pod uwagę, że Urząd Miasta Lublin nie korzysta z usług podmiotu zewnętrznego w zakresie pełnienia funkcji Inspektora Ochrony Danych Urząd Miasta Lublin rozpoznanie wniosku w zakresie pytań ujętych w pkt. 4a–3h wniosku należy uznać za bezprzedmiotowe.
Odpowiedź na pytania numer od 5 do 8
Odpowiadając na powyższe wskazuję, iż treść pytań w zakresie pkt 5-8 była już przedmiotem wniosku o udostępnienie informacji publicznej, a treść udzielonej przez organ odpowiedzi pozostaje w dalszym ciągu aktualna oraz została zamieszczona na stronie Biuletynu Informacji Publicznej Samorządu Miasta Lublin w zakładce: » Informacja publiczna » Wnioski o udostępnienie informacji publicznej » 2023 » 467. Wniosek o dostęp do informacji publicznej dotyczący Inspektora Danych Osobowych, Krajowych Ram Interoperacyjności, procedury dotyczącej sygnalistów, bezpośredni link: Wniosek
W odniesieniu do pozostałej treści żądania, tj. opisania w skrócie dokumentacji SZBI wskazuję, iż Urząd dysponuje całościową Polityką Bezpieczeństwa Informacji, wprowadzoną zarządzeniem nr 1/3/2017 Prezydenta Miasta Lublin z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin, zamieszczonym w BIP pod linkiem: Zarządzenie
Jest ona kluczowym elementem Systemu Zarządzania Bezpieczeństwem Informacji mającym na celu:
- zapewnienie ochrony informacji, adekwatnej do ryzyka i przepisów prawa;
- zapewnienie ciągłości procesów przetwarzania informacji;
- reagowanie na najnowsze zagrożenia dla bezpieczeństwa informacji;
- zapewnienie poprawnego funkcjonowania systemów teleinformatycznych.
W tym miejscu informuję, że Biuletyn Informacji Publicznej (BIP) jest podstawowym źródłem zapoznania się z informacją publiczną i udostępnienie informacji w BIP wyłącza obowiązek ponownego jej udostępnienia na wniosek zainteresowanego, czy w innych przewidzianych w ustawie formach (np. wyłożenia, wywieszenia). Przepis art. 10 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r., poz. 902) wprowadza tzw. negatywną klauzulę wnioskowego trybu udzielania informacji. Oznacza to, że adresat wniosku zwolniony jest z obowiązku udostępnienia informacji, jeżeli została ona ujawniona w BIP lub portalu danych. W przypadku złożenia wniosku podmiot zobowiązany zawiadamia wnioskodawcę o braku stosowania trybu wnioskowego w związku z ujawnieniem żądanej informacji w BIP. Oznacza to, że podmiot zobowiązany nie ma obowiązku udostępniać informacji publicznej w formie i w sposób wskazany we wniosku jedynie wówczas, gdy znajduje się ona w BIP, zaś zakres żądania sformułowany we wniosku o jej udostępnienie i zakres informacji znajdujący się w BIP pozwala na stwierdzenie, że są one identyczne.
Dodać należy również, że udostępnienie informacji publicznej w BIP zwalnia podmiot zobowiązany z obowiązku potwierdzania na piśmie jej istnienia. W przypadku informacji udostępnionej w BIP na dysponencie tej informacji nie spoczywa obowiązek dokonywania wydruków z Biuletynu i przesyłania ich żądającemu informacji.
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
28-12-2023 10:47 | Ewelina Misiec | utworzono na podstawie sprawy KP-PP-I.1431.513 i 530.2023 | Wersja aktualnie wyświetlana |