Wniosek z dnia 03.12.2023:

Koniec roku to najlepszy czas aby sprawdzić czy jednostki samorządu terytonalnego spełniły obowiązki jakie nałożył na nich ustawodawca. Dlatego składamy Oficjalny Wniosek na mocy art. 61 Konstytucji RP w związku z art. 241 KPA Kierownik Jednostki Samorządu Terytorialnego (dalej JST) - w rozumieniu art. 33 ust. 3 Ustawy o samorządzie gminnym (Dz.U.2018.994 t.j. z 2018.05.24). Najwyższa Izba Kontroli ( dalej NIK) w protokole pokontrolnym nr kap-4101-002-00/2014 - “ (...) negatywnie ocenia działania burmistrzowi prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach, o którym mowa w § 20 rozporządzenia KRI. NIK stwierdziła nieprawidłowości w tym obszarze w 21 z 24 (87,5%) skontrolowanych urzędów miast, z których sześć oceniła negatywnie. (...)"

NIK w raportach dotyczących bezpieczeństwa danych osobowych w tym RODO stwierdził uchybienia jednostek samorządu terytorialnego w zakresie braku realizacji zadań Inspektorów Ochrony Danych (dalej IOD), wyznaczanie IOD niezgodnie z kwalifikacjami, konfliktem interesów IOD, brak wymaganej dokumentacji RODO, brak potwierdzenia skuteczności szkoleń: https://www.nik. gov.p1/kontrole/P/l 8/006

Na mocy art..61. Konstytucji RP, w trybie art. 6 ust. 1 pkt. 1 lit c Ustawy z dnia 6 września o dostępie do informacji publicznej (t.j. Dz. U. z 2022 r. poz. 902) - dalej czasem pod akronimem: uoddip) - wnosimy o udzielnie informacji publicznej -ikiedy ostatni raz podmiot przeprowadził okresową analizę ryzyka utraty integralności, dostępności lub poufności informacji ?

Oczywiście - nasze pytanie koresponduje w swojej treści ż §20 ust. 2 pkt. 3 Rozporządzenia w sprawie KRI (Dz.U.2017.2247 t.j. z 2017.12.05).

Na mocy art. 61 Konstytucji RP, w trybie art. 6 ust. 1 pkt. 1 lit c Ustawy z dnia 6 września o dostępie do informacji publicznej (t.j. Dz. U. z 2022 r. poz. 902 - dalej czasem pod akronimem: uoddip) - wnosimy o udzielnie informacji publicznej - kiedy ostatni raz Kierownik JST zapewnił szkolenie osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem:

1. zagrożenia bezpieczeństwa informacji,
2. skutków naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialności prawnej,
3. stosowania środków zapewniających bezpieczeństwo informacji, w tym urządzeń i oprogramowania minimalizującego ryzyko błędów ludzkich ?

W tym przypadku nasze pytanie koresponduje sensu stricto z brzmieniem §20 ust.2 pkt. 6 wyżej wzmiankowanego Rozporządzenia.

Ponadto

także na podstawie art. 61 Konstytucji RP z dnia 2 kwietnia 1997r. oraz art. 10 ust.l z dnia 6 września 2001 roku ustawy o dostępie do informacji publicznej (Dz.U. z 2019 r., poz. 1429) składamy wniosek o dostęp do informacji publicznej:

1. Wnosbny o podanie danych kontaktowych Inspektora Ochrony Danych Osobowych
2. Czy Inspektor Ochrony Danych osobowych ma odpowiednie kwalifikacje?Czy korzystają Państwo z podmiotu zewnętrznego w zakresie funkcji Inspektora Ochrony Danych (IOD)? Jeżeli tak, to proszę o podanie:
3. 37 ust. 5 RODO wskazuje, że Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa art. 39 RODO. Proszę wykazać kwalifikacje i wiedzę prawniczą IOD. Czy IOD jest prawnikiem?
4. termin i zakres przeprowadzenia ostatniego szkolenia RODO dla pracowników w roku 2023;
5. termin i zakres przeprowadzenia ostatniego szkolenia z KRI dla pracowników w roku 2023;
6. termin i zakres przeprowadzenia ostatniego szkolenia z cyberbezpieczeństwa dla pracowników w roku 2023;
7. Kto w/w szkolenia przeprowadza? Zgodnie z art. 39 nst.l za w/w szkolenia odpowiada Inspektor Ochrony Danych,

termin i zakres ostatniego audytu jakie przeprowadził Inspektor Ochrony danych w roku 2023.

czy na bieżąco Inspektor Ochrony Danych sprawdza dokumenty tj. projekty umów, informacji udostępnianych w Biuletynie Informacji Publicznych, projekty przepisów wewnętrznych związanych z udostępnianiem bądź pozyskiwaniem danych osobowych.

Kto dokonuje audytów z zakresu ochrony danych osobowych z ZFSS? Gzy z audytu ZFSS jest sporządzany raport? Czy powyższe zadanie realizuje Inspektor Ochrony Danych?

Art, 8 Id. Ustawa o ZFSS '

Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. la, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest.zbędne do realizacji celu określonego w ust. la i Ic.

3. W jaki sposób IOD realizuje swoje zadania ( audyty, szkolenia, konsultacje). Wnosimy o dokumentację potwierdzająca realizację zadań przez IOD lub opis jego działań od dnia 25 maja 2018 roku (zadań wynikających z art. 39 .rozporządzenia RODO)

Odpowiedzialność za niespełnienie wymagań ciąży na Inspektorze Ochrony Danych oraz Administratorze.

4. Czy w roku 2023 był u Państwa przeprowadzony audyt z Krajowych Ramlnteroperacyjności? Narządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: [...] zapewnienia okresowego audytu wewnętrznego w zabosie bezpieczeństwa informacji, nie rzadziej niż raz na rok³¹.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych(Dz. U. z 2012r. poz. 526).

- §20 ust. 2 pkt 14 tj.:

Jeżeli tak, to proszę podać:

1. Wykonawca - firma zewnętrzna czy pracownik instytucji;
2. Termin ostatniego audytu KRI;
3. Zakres audytu
4. Opisanie w skrócie dokumentacji SZBI

W przypadku braku udzielenia pełnej odpowiedzi i zgodnej z treścią złożonego wniosku Wnioskodawca niezwłocznie złoży skargę do właściwego miejscowo Wojewódzkiego Sądu Administracyjnego na bezczynność organu. W skardze tej Wnioskodawca jednak dodatkowo zażąda ukarania organu grzywną zgodnie z treścią art. 149 par. 2 ustawy z dnia 30 sierpnia 2002 r. o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2018 r., poz. 1302 ze zm.).

Celem naszych wniosków jest - sensu largo - usprawnienie, naprawa - na miarę istniejących możliwości - funkcjonowania struktur Administracji Publicznej - głownie w Gminach/Miastach - gdzie jak wynika z naszych wniosków - stan faktyczny wymaga wszczęcia procedur sanacyjnych.
Pamiętajmy również o przepisach zawartych inter alia: w art. 225 KPA: "§ 1. Nikt nie może być narażony na jakikolwiek uszczerbek lub zarzut z powodu złożenia skargi lub wniosku albo z powodu dostarczenia materiału do publikacji o znamionach skargi lub wniosku, jeżeli działał w granicach prawem dozwolonych. Organy samorządowe oraz organy organizacji społecznych są obowiązane przeciwdziałać hamowaniu krytyki i innym działaniom ograniczającym prawo do składania skarg i wniosków lub dostarczania informacji - do publikacji - o znamionach skargi lub wniosku."

Odpowiedź z dnia 12.12.2023:

W odpowiedzi na Pana wniosek z dnia 04 grudnia 2023 r. o udostępnienie informacji publicznej na podstawie przepisów ustawy o dostępie do informacji publicznej (Dz.U. z 2022r. , poz. 902) informuję jak niżej:    

1.Kiedy ostatni raz podmiot przeprowadził okresową analizę ryzyka utraty integralności, dostępności lub poufności informacji ?

• Ostatni raz okresową analizę ryzyka utraty integralności, dostępności lub poufności informacji przeprowadzano 13 września 2021 r., w 2023 r. dokonano diagnozy z cyberbezpieczeństwa w ramach projektu ,, Cyfrowy Powiat” zgodnie z 20 ust. 2 pkt. 3 Rozporządzenia w sprawie KRI (Dz.U.2017.2247 t.j. z 2017.12.05).

2. Kiedy ostatni raz Kierownik JST zapewnił szkolenie osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem:
3. a) zagrożenia bezpieczeństwa informacji,
4. b) skutków naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialności prawnej,
5. c) stosowania środków zapewniających bezpieczeństwo informacji, w tym urządzeń i oprogramowania minimalizującego ryzyko błędów ludzkich ?

• Odbyły się trzy szkolenia z zakresu ochrony danych osobowych:  

              27.05.2020 r.  (firma szkoląca ProtectIT Sp z o.o.)

                                                        16.09.2021 r. (firma szkoląca Elit Parter Sp z o.o.)

                                                         28.10.2022 r. ( firma szkoląca InBase Sp z o.o. Joanna  Trusińska )

3. Wnosimy o podanie danych kontaktowych Inspektora Ochrony Danych Osobowych

• dane kontaktowe do Inspektora Ochrony Danych Osobowych udostępnione są pod linkiem:

https://samorzad.gov.pl/web/powiat-hajnowski/inspektor-ochrony-danych-osobowych

4. Czy Inspektor Ochrony Danych osobowych ma odpowiednie kwalifikacje?

• Inspektor Ochrony Danych przedłożył w 2018 r. świadectwo ukończenia studiów podyplomowych w zakresie zarządzania bezpieczeństwem informacji

5.Czy korzystają Państwo z podmiotu zewnętrznego w zakresie funkcji Inspektora Ochrony Danych (IOD)?

• Nie korzystamy z podmiotu zewnętrznego w zakresie funkcji Inspektora Ochrony Danych (IOD)

6. W jaki sposób IOD realizuje swoje zadania ( audyty, szkolenia, konsultacje).

7. Czy w roku 2023 był u Państwa przeprowadzony audyt z Krajowych Ram Interoperacyjności?

W 2023 r. w Starostwie Powiatowym w Hajnówce nie był przeprowadzany audyt bezpieczeństwa informacji wynikający z rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności.