Koniec roku to najlepszy czas aby sprawdzić czy jednostki samorządu terytorialnego spełniły obowiązki jakie nałożył na nich ustawodawca. Dlatego składamy Oficjalny Wniosek na mocy art. 61 Konstytucji RP w związku z art. 241 KPA Kierownik Jednostki Samorządu Terytorialnego (dalej JST) - w rozumieniu art. 33 ust. 3 Ustawy o samorządzie gminnym (Dz.U.2018.994 t.j. z 2018.05.24). Preambuła Wniosku:
Najwyższa Izba Kontroli ( dalej NIK) w protokole pokontrolnym nr kap-4101-002-00/2014 - “ (…) negatywnie ocenia działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach, o którym mowa w § 20 rozporządzenia KRI. NIK stwierdziła nieprawidłowości w tym obszarze w 21 z 24 (87,5%) skontrolowanych urzędów miast, z których sześć oceniła negatywnie. (...)"
NIK w raportach dotyczących bezpieczeństwa danych osobowych w tym RODO stwierdził uchybienia jednostek samorządu terytorialnego w zakresie braku realizacji zadań Inspektorów Ochrony Danych (dalej IOD), wyznaczanie IOD niezgodnie z kwalifikacjami, konfliktem interesów IOD, brak wymaganej dokumentacji RODO, brak potwierdzenia skuteczności szkoleń:
https://www.nik.gov.pl/kontrole/P/18/006/.
W związku z powyższym:
1) Na mocy art. 61 Konstytucji RP w związku z art. 6 ust. 1 pkt. lit. c Ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U.2018.1330 t.j. z 2018.07.10) - w związku z §20 pkt. 12 lit. a - scilicet “(…) zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: dbałości o aktualizację oprogramowania,(…) “ - wnosimy o udzielnie informacji publicznej w przedmiocie - szacunkowej ilości oprogramowania - użytkowanego w Urzędzie i nieposiadającego obecnie wsparcia producenta - inter alia: Windows XP, Windows Vista, etc,
2) Czy podmiot dysponuje całościową Polityką Bezpieczeństwa Informacji, wymaganą w §20 ust. 1 i 3 ww. Rozporządzenia? Jeśli odpowiedź jest twierdząca - wnosimy o krótkie - w kilku ogólnych zdaniach - opisanie przedmiotowej dokumentacji RODO.
3) Przepis § 20 rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zwanego dalej rozporządzeniem, określa ciążące na kierownictwie podmiotu publicznego obowiązki związane z systemem zarządzania bezpieczeństwem informacji. Istnieje obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Kiedy Urząd ostatni raz przeprowadzał wewnętrzny audyt z zakresu bezpieczeństwa informacji - stosownie do wymogów §20 ust. 2 pkt. 14 ww. Rozporządzenia.
4) Na mocy wyżej wzmiankowanych przepisów wnosimy o udzielenie informacji publicznej w przedmiocie, czy Urząd posiada na dzień dostarczenia niniejszego wniosku - bilateralne sygnowaną umowę (ze strony Urzędu przez upoważnioną osobę) w przedmiocie usług poczty elektronicznej - spełniającą wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (…)
5) Na mocy wyżej wymienionych przepisów wnosimy o podanie danych Pracownika Urzędu, który w zakresie wykonywanych zadań i powierzonych kompetencji odpowiada operacyjnie za wyżej wzmiankowany obszar związany z informatyzacją Urzędu. Mówiąc o danych Pracownika Urzędu - Wnioskodawca ma na myśli - imię i nazwisko, adres e-mail, nr tel. Etc
6) Czy zostały zrealizowane wszystkie zadania Administratora wskazane w raporcie NIK ? https://www.nik.gov.pl/kontrole/P/18/006/.
7) Czy IOD poinformował i przygotował umowę zawartą z firmą, która dostarcza oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Poniżej stanowisko UODO o konieczności zawarcia umowy powierzenia : https://uodo.gov.pl/pl/138/1240
8) Podanie liczby żądań określonych w art. 15 – 21 RODO jakie wpłynęły do adresata niniejszego wniosku w roku 2020.
9) Czy zostały przeprowadzone konsultacje o których mowa w art. 108a Prawa Oświatowego w zakresie konsultacji między jednostkami oświatowymi a organem prowadzącym w zakresie monitoringu wizyjnego?
10) Czy w ostatnich trzech latach pracownicy podmiotu uzupełniali wiedzę podczas szkoleń z zakresu dostępu do informacji publicznej/prowadzenia BIP/poprawnej obsługi wniosków o informację publiczną? Jeśli tak to kto był dostawcą szkoleń (www.instytutOS.pl, www.nbip.pl czy inny (jaki?)), Proszę podać ilu pracowników przeszkolono i jaki był koszt brutto szkolenia za pracownika oraz łącznie, a także czy były to szkolenia zamknięte czy otwarte, stacjonarne(w siedzibie czy wyjazdowe), zdalne (stacjonarne czy telekonferencja)
11) Prezes UODO w decyzji z 10 września 2019 r. (ZSPR.421.2.2019) wyjątkowo mocno podkreśla:
„kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa”.
W związku z powyższym czy IOD podjął działania realne w tym zakresie? Czy zostały opracowane odpowiednie procedury? Jeśli tak to jakie?
12) Zgodnie ze stanowiskiem UODO wyrażonym w podręczniku UODO https://uodo.gov.pl/pl/p/ochrona-danych-osobowych-w-szkolach-i-placowkach-oswiatowych-poradnik i na stronie uodo.gov.pl
należy zawrzeć umowy powierzenia pomiędzy jednostkami oświatowymi a podmiotami obsługującymi te jednostki w zakresie księgowym czy administracyjnym np. CUW: „Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. Zawarcie takiej umowy nie zmienia statusu ich administratora jest on w dalszym ciągu odpowiedzialny za ich prawidłowe przetwarzanie. Odnosi się to również do sytuacji ustawowego powierzenia przetwarzania danych, np., gdy obsługę administracyjną, czy księgową pełni jednostka powołana przez organ prowadzący”
Czy takie umowy między jednostkami zostały zawarte?
13) Wnosimy o informację w zakresie:
- danych Inspektora Ochrony Danych (IOD)/ewentualnie zastępcy IOD
- zakresu czynności, wyznaczenie, zawiadomienie o wyznaczeniu IOD do PUODO;
- czy IOD wykonuje jeszcze jakieś inne dodatkowe czynności/ jeśli tak wskazać jakie;
- informacje dotyczące szkoleń, podnoszenia kwalifikacji przez IOD.
- dokumentacja potwierdzająca realizację zadań przez IOD od dnia 25 maja 2018 roku (zadań wynikających z art. 39 rozporządzenia RODO).
- informacje dotyczące szkoleń pracowników w zakresie ochrony danych osobowych przeprowadzanych po 25 maja 2018 roku z zakresu RODO oraz Krajowych Ram Interoperacyjności (informacje tj. zakres szkolenia, osoba prowadząca, listy obecności, potwierdzenie odbycia szkolenia)
- rejestr czynności przetwarzania danych osobowych oraz jego zmiany.
- rejestr kategorii czynności przetwarzania danych osobowych oraz jego zmiany.
- dokumentacja w zakresie analizy ryzyka związanego z przetwarzaniem danych osobowych.
- w jaki sposób realizowany jest obowiązek informacyjny – art. 13 RODO? Opisać. Przedstawić obowiązujące klauzule informacyjne. Dla jakich czynności przetwarzania zrealizowano obowiązek informacyjny?
- w jaki sposób realizowany jest obowiązek informacyjny – art. 14 RODO? Opisać. Przedstawić obowiązujące klauzule informacyjne. Dla jakich czynności przetwarzania zrealizowano obowiązek informacyjny?
- czy są wykonywane audyty z zakresu RODO? Przedstawić realizacji w/w obowiązku.
14. Czy istnieje konflikt interesów przy pełnieniu funkcji IOD?
IOD nie może podlegać jakimkolwiek innym osobom niż najwyższe kierownictwo (art. 38 ust. 3 RODO), co ma mu gwarantować niezależne, prawidłowe i skuteczne wykonywanie funkcji. Najwyższym kierownictwem jednostki organizacyjnej - w zależności od jej rodzaju – może być osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi), działając jako administrator. W przypadku jednoczesnego pełnienia funkcji IOD i ASI wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. SEKRETARZ GMINY, dyrektorowi ds. informatycznych, kierownikowi działu IT lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.
Zgodnie z art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. RODO nie precyzuje w jakich sytuacjach będzie zachodził, wskazany w art. 38 ust. 6 RODO, konflikt interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych.
Za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, sekretarz gminy) oraz niższe stanowiska, jeśli osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych.
Dlatego też ww. konflikt interesów może obejmować również stanowiska związane z bezpieczeństwem w organizacji, o ile z ich piastowaniem wiąże się decydowanie - w jakikolwiek sposób o sposobach i celach przetwarzania danych osobowych w organizacji.
Podsumowując, ocena czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.
15. Czy istnieje dokumentacja z zakresu realizacji zadań IOD?
16. Czy jednostka realizuje obowiązek wskazany w najnowszym stanowisku UODO? Jeśli proszę wskazać w jaki sposób.
https://uodo.gov.pl/pl/225/1577
17 W jaki sposób są realizowane obowiązki informacyjne względem osób, które dane dotyczą?
18 Czy w jednostce funkcjonują przepisy wewnętrzne i dokumenty, z których zapisów wynika, w jaki sposób IOD został włączony w bieżące funkcjonowanie jednostki.
Pomimo, że nie wnioskujemy o informację przetworzoną w zakresie wymagającym znacznych nakładów pracy, uzasadniamy nasze pytania stosownie do brzmienia art. 3 ust. 1 pkt. 1 Ustawy o dostępie do informacji publicznej – tym, że przedmiotowa informacja oraz ewentualna późniejsza próba optymalizacji tego obszaru wydaje się szczególnie istotna z punktu widzenia Interesu Społecznego - o czym świadczy powołany protokół NIK.
Podkreślamy za brak realizacji zadań odpowiada administrator oraz ewentualnie IOD.
Osnowa Wniosku:
Kiedy 2 lata temu Wnioskodawca zadawał pytania wybranym Gminom i jednostkom organizacyjnym - o w/w pytania to odpowiedzi były niezadawalające (odpowiedzi tego typu opublikowaliśmy na portalu oraz powiadomiliśmy organ nadzorczy co skutkowało wszczęciem kontroli) - zatem wydaje się ze ponowne zbadanie stanu faktycznego - jest ze wszech miar uzasadnione. Zastrzegamy sobie możliwość opublikowania wybranych odpowiedzi w naszym portalu.
Zdaniem wnioskodawcy obszar ten - stosownie do art. 241 KPA, wymaga optymalizacji
Pomimo, iż w rzeczonym wniosku powołujemy się na art. 241 Ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.2016.23 t.j. z dnia 2016.01.07) - w naszym mniemaniu niniejszy przedmiotowy wniosek/wnioski - nie powinny być rozpatrywane w trybie KPA.
Zatem - wg. Wnioskodawcy niniejszy wniosek może być jedynie fakultatywnie rozpatrywany - jako optymalizacyjny w związku z art. 241 KPA.
W naszych wnioskach/petycjach często powołujemy sie na wzmiankowany art. 241 KPA - scilicet: "Przedmiotem wniosku mogą być w szczególności sprawy ulepszenia organizacji, wzmocnienia praworządności, usprawnienia pracy i zapobiegania nadużyciom, ochrony własności, lepszego zaspokajania potrzeb ludności.” - w sensie możliwości otwarcia procedury sanacyjnej.
Każdy Podmiot mający styczność z Urzędem - ma prawo i obowiązek - usprawniać struktury administracji samorządowej.
Pozwalamy sobie również przypomnieć, że ipso iure art. 2 ust. 2 Ustawy o dostępie do informacji publicznej “ (…) Od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego.
Adresat nie powinien rozpatrywać niniejsze wnioski w trybie KPA. Należy zastosować procedować nasze wnioski - w trybie Ustawy o petycjach (Dz.U.2014.1195 z dnia 2014.09.05) lub odpowiednio Ustawy o dostępie do informacji publicznej (wynika to zazwyczaj z jego treści i powołanych podstaw prawnych).
Pozwalamy przypomnieć, że od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego. Za wniosek pisemny o dostęp do informacji publicznej należy również uznawać przesłanie zapytania e-mailem - i to nawet wtedy, gdy do jego autoryzacji nie zostanie użyty podpis.
Udostępnienie informacji publicznej na wniosek jest odformalizowane. Jeżeli może zostać ona niezwłocznie udostępniona, to wnioskodawca nie tylko nie musi wniosku podpisywać i podawać swoich danych osobowych, ale też może złożyć żądanie ustnie, np. w trakcie wizyty w urzędzie lub rozmowy telefonicznej. W tym przypadku nie obowiązują przepisy kodeksu postępowania administracyjnego dotyczące wymogów formalnych podania.
Osoba wykonująca prawo do informacji nie musi tłumaczyć przyczyn złożenia wniosku – świadczy o tym treść art. 2 ust. 1 u.d.i.p. – od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego. Nie powinno więc mieć znaczenia, kto składa wniosek ani co kieruje wnioskodawcą, który korzysta z prawa do informacji (pomijam w tym momencie sytuację, gdy wnioskodawca wnosi o informację przetworzoną, kiedy to jego identyfikacja może mieć znaczenie dla rozstrzygnięcia o zaistnieniu przesłanek dla przetworzenia informacji wskazanych w art. 3 ust. 1 pkt 1 u.d.i.p.).
W sytuacji gdy wniosek został złożony drogą elektroniczną, drogą poczty tradycyjnej czy telefonicznie, z punktu widzenia założeń ustawy o dostępie do informacji publicznej nie ma znaczenia rzeczywista tożsamość wnioskodawcy. Istotne natomiast jest, czy podmiot wnioskujący przekazał w swym wniosku jakiekolwiek dane umożliwiające podmiotowi zobowiązanemu przekazanie odpowiedzi na wniosek. (…) To tylko fragment wyjaśnienia Piotra Sitniewskiego na ten temat.
Biorąc pod uwagę powyższe argumenty, należy stwierdzić, że wnioskujący nie musi ujawniać żadnych informacji o sobie, tym samym na etapie wniosku może pozostać anonimowy.
wyrok WSA we Wrocławiu IV SAB/Wr 46/18 Sygn. akt: II SAB/Bk 38/16
(zob. wyrok NSA z dnia 14 grudnia 2012 r., I OSK 2033/12, CBOSA)
W przypadku braku udzielenia pełnej odpowiedzi i zgodnej z treścią złożonego wniosku Wnioskodawca niezwłocznie złoży skargę do właściwego miejscowo Wojewódzkiego Sądu Administracyjnego na bezczynność organu. W skardze tej Wnioskodawca jednak dodatkowo zażąda ukarania organu grzywną zgodnie z treścią art. 149 par. 2 ustawy z dnia 30 sierpnia 2002 r. o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2018 r., poz. 1302 ze zm.).
Celem naszych wniosków jest - sensu largo - usprawnienie, naprawa - na miarę istniejących możliwości - funkcjonowania struktur Administracji Publicznej - głownie w Gminach/Miastach - gdzie jak wynika z naszych wniosków - stan faktyczny wymaga wszczęcia procedur sanacyjnych.
Pamiętajmy również o przepisach zawartych inter alia: w art. 225 KPA: "§ 1. Nikt nie może być narażony na jakikolwiek uszczerbek lub zarzut z powodu złożenia skargi lub wniosku albo z powodu dostarczenia materiału do publikacji o znamionach skargi lub wniosku, jeżeli działał w granicach prawem dozwolonych. Organy samorządowe oraz organy organizacji społecznych są obowiązane przeciwdziałać hamowaniu krytyki i innym działaniom ograniczającym prawo do składania skarg i wniosków lub dostarczania informacji - do publikacji - o znamionach skargi lub wniosku."
Eksperci NIK piszą: "Niewielka liczba składanych wniosków o udzielenie informacji publicznej, liczba skarg złożonych do WSA, jak również liczba pozwów złożonych do sądów rejonowych, świadczyć może o braku zainteresowania w egzekwowaniu powszechnego prawa do informacji publicznej. Z drugiej strony, realizację tego prawa utrudniają podmioty zobowiązane do pełnej przejrzystości swojego działania, poprzez nieudostępnianie wymaganej informacji publicznej" [Protokół pokontrolny dostępny w sieci Internet: LBY-4101-09/2010]. Mamy nadzieję, zmienić powyższą ocenę, być może nasz wniosek choć w niewielkim stopniu – przyczyni się do zwiększenia tych wskaźników.
Wnosimy - w trybie Ustawy o petycjach (Dz.U.2018.870 t.j. z dnia 2018.05.10) art. 8 - o opublikowanie w Podmiotowej Stronie Biuletynu Informacji Publicznej – przedmiotowy wniosek wraz z odpowiedziami aby interesanci mieli świadomość realizacji w/w zadań.
Aby zachować pełną jawność i transparentność działań - wnosimy o opublikowanie treści petycji na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego (Adresata) - na podstawie art. 8 ust. 1 ww. Ustawy o petycjach - co jest jednoznaczne z wyrażeniem zgody na publikację wszystkich danych podmiotu wnoszącego petycję. Chcemy działać w pełni jawnie i transparentnie.
Optymalizację i wdrożenie procedury sanacyjnej - Petycjodawca - rozumie w tym przypadku - jako - ad exemplum – chronienie danych osobowych.
Dobro Petenta i jawność życia publicznego jest naszym nadrzędnym celem, dlatego staramy się również upowszechniać zapisy Ustawowe dotyczące Wnioskowania. Kwestie te Ustawodawca podkreślił i uregulował w art. 63 Konstytucji RP: "Każdy ma prawo składać petycje, wnioski i skargi w interesie publicznym, własnym lub innej osoby za jej zgodą do organów władzy publicznej oraz do organizacji i instytucji społecznych w związku z wykonywanymi przez nie zadaniami zleconymi z zakresu administracji publicznej." oraz w art. 54 ust. 1 Konstytucji RP "Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji."
Szczegółowe odpowiedzi na zadane zostaną przez nas wykorzystane. Pytania proszę wysłać na maila:
tomaszpiotrowiczzinformacjapub@gmail.com
lub
tomaszpiotrowicz_informacjapubl@protonmail.com
Tomasz Piotrowicz
Proton
Oddziały w Krosno, Nowy Sącz, Zakopane
tomaszpiotrowicz_informacjapubl@protonmail.com