Zapytanie o ABI i dokumentację przetwarzania danych osobowych w trybie dostępu do informacji publicznej
Ostatnio przygotowałam dla jednej z bibliotek odpowiedź na zapytanie w trybie dostępu do informacji publicznej, odnośnie opracowanej i wdrożonej dokumentacji przetwarzania danych osobowych, powołania ABI oraz rejestracji zbiorów w GIODO.
Pomyślałam, że pewnie część z Was też dostaje takie lub podobne pytania i przy niektórych może mieć problem z odpowiedzią, dlatego zamieszczam poniżej odpowiedzi opracowane dla biblioteki, która:
- nie powołała Administratora Bezpieczeństwa Informacji,
- opracowała i wdrożyła dokumentację przetwarzania danych osobowych,
- nie publikuje zarządzeń dyrektora w BIP
- nie odpowiada na wnioski w oparciu o Kodeks Postępowania Administracyjnego (instytucje kultury nie muszą).
Na podstawie art. 61 Konstytucji RP oraz art. 10 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej wnoszę o udostępnienie następującej informacji publicznej i przesłanie na adres email w zakresie zgodnym z poniższymi pytaniami:
1. Czy po dniu 1.01.2015 r. opracowano dokumentację dotyczącą ochrony danych osobowych wymaganą przepisami rt. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r., poz. 1182 z późn. Zm.) [zwanej dalej Ustawą] w postaci:
– polityki bezpieczeństwa danych osobowych;
– instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Dokumentacja przetwarzania danych osobowych określona Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024), została opracowana i wdrożona przed 1.01.2015r.
2. Jeżeli opracowano dokumentację wskazaną w pkt. 1 powyżej to proszę o podanie daty opracowania i podanie miejsca publikacji zarządzenia wdrażającego ww. dokumentację na stronie internetowej (dokładnego odnośnika URL) lub w wypadku nie opublikowania na stronie internetowej proszę o przesłanie kopii elektronicznej ww. zarządzenia.
Dokumentację opracowano i wdrożono, poprzez zarządzenie Dyrektora (data i numer). Zarządzenie nie zostało opublikowane na stronie internetowej biblioteki. Dołączam kopię zarządzenia.
3. Czy powołano Administratora Bezpieczeństwa Informacji w rozumieniu rt. 36a. ust. 1 Ustawy.
Administrator danych podjął decyzję o niepowoływaniu Administratora Bezpieczeństwa Informacji w rozumieniu art. 36 a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2015 nr 0 poz. 2135).
4. Jeżeli powołano ww. Administratora Bezpieczeństwa Informacji proszę o podanie daty powołania, jego stanowiska, imienia i nazwiska oraz numeru telefonu służbowego, ewentualnie o podanie miejsca publikacji na stronie internetowej (dokładnego odnośnika URL).
Nie dotyczy.
5. Jeżeli Administrator Bezpieczeństwa Informacji jest pracownikiem firmy zewnętrznej lub prowadzi działalność gospodarczą to proszę o podanie nazwy firmy i adresu siedziby oraz wysokości otrzymywanego miesięcznego wynagrodzenia z tytułu pełnienia funkcji Administratora Bezpieczeństwa Informacji.
Nie dotyczy.
6. Jeżeli Administrator Bezpieczeństwa Informacji był w 2015 r. pracownikiem firmy zewnętrznej lub prowadzi działalność gospodarczą to proszę o podanie nazwy firmy i adresu siedziby oraz wysokości otrzymywanego miesięcznego wynagrodzenia z tytułu pełnienia funkcji Administratora Bezpieczeństwa Informacji.
Nie dotyczy.
7. Czy powołano zastępców Administratora Bezpieczeństwa Informacji.
Nie dotyczy.
8. Jeżeli powołano ww. Administratora Bezpieczeństwa Informacji proszę o podanie na jakiej podstawie uznano, że Administratora Bezpieczeństwa Informacji ma odpowiednią wiedzę w zakresie ochrony danych osobowych rozumieniu rt. 36a. ust. 1 Ustawy i proszę podać jego wykształcenie oraz kwalifikacje.
Nie dotyczy.
9. Czy Administrator Bezpieczeństwa Informacji opracował rejestr zbiorów danych osobowych określony w rt. 36a. ust. 2 pkt 2 Ustawy.
Nie dotyczy.
10. Jeżeli Administrator Bezpieczeństwa Informacji opracował rejestr określony w rt. 36a. ust. 2 pkt 2 Ustawy proszę o podanie daty opracowania i podanie miejsca jego publikacji na stronie internetowej (dokładnego odnośnika URL) lub w wypadku nie opublikowania na stronie internetowej proszę o przesłanie kopii elektronicznej ww. rejestru.
Nie dotyczy.
11. Czy Administrator Bezpieczeństwa Informacji opracował plan sprawdzeń określony w § 3. ust. 3 Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745)[zwanego dalej Rozporządzeniem].
Nie dotyczy.
12. Czy Administrator Bezpieczeństwa Informacji opracował sprawozdanie, o którym mowa w rt. 36a ust. 2 pkt. 1 lit. A Ustawy. Jeżeli tak to proszę o podanie trybu określonego w ust.2 Rozporządzenia oraz daty i miejsca podpisania ww. sprawozdania.
Nie dotyczy.
13. Czy zostały zgłoszone do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory dotyczące rozpatrywania wniosków o udostępnianie informacji publicznych oraz petycji.
W przypadku instytucji kultury, zbiór wniosków o udostępnianie informacji publicznych oraz petycji jest zwolniony z obowiązku rejestracji u Generalnego Inspektora na podstawie art. 43 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2015 nr 0 poz. 2135). Odpowiedzi na zapytania w trybie dostępu do informacji publicznej nie odbywają się w oparciu o KPA i nie stanowią decyzji administracyjnych.
14. Jeżeli zostały zgłoszone do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory dotyczące rozpatrywania wniosków o udostępnianie informacji publicznych oraz petycji to proszę o podanie daty wysłania przedmiotowych wniosków do Generalnego Inspektora Ochrony Danych Osobowych i podanie numerów ksiąg rejestrowych pod którym powyższe zbiory zostały zgłoszone.
Nie dotyczy.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!