Skip to main content

Dnia 2 lipca 2020 roku do SAPO wpłynął wniosek o udzielenie informacji publicznej od Płockiego Zespołu RODO reprezentowanego przez Pana Adama Kamińskiego. Poniżej przedstawiamy treść wniosku i odpowiedź:

Nadchodzą zaawansowane kontrole krzyżowe UODO oraz UOKIK. W związku z tym nasze stowarzyszenie ma na celu weryfikację spełnienia wymogów związanych z RODO. Najwyższa Izba Kontroli planuje przeprowadzenie blisko 300 kontroli. Niektóre z nich nich dotyczyć będzie weryfikacji bezpieczeństwa informatycznego oraz Krajowych Ram Interoperacyjności. Zgodnie z informacjami przedstawionymi przez NIK, 56 z zaplanowanych audytów to kontrole koordynowane, czyli takie, w których udział weźmie więcej niż jedna jednostka NIK.

Najwyższa Izba Kontroli w protokole pokontrolnym nr kap-4101-002-00/2014 -  “ (…) negatywnie ocenia działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach, o którym mowa w § 20 rozporządzenia KRI. NIK stwierdziła nieprawidłowości w tym obszarze w 21 z 24 (87,5%) skontrolowanych urzędów miast, z których sześć oceniła negatywnie. (...)" 

 
Dlatego też prosimy o udzielenie informacji w ustawowym terminie, we wskazanym poniżej zakresie, wyłącznie pocztą elektroniczną na adres:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

WNIOSEK

  1. W trybie dostępu do informacji publicznej – zwracamy się z prośbą o informację, czy w związku z monitoringiem wizyjnym miejsc publicznych prowadzonym przez Państwa jednostkę była prowadzona była ocena skutków w rozumieniu art. 35 ust. 1 rodo stosownie do treści tego przepisu:

„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”.

Natomiast zgodnie z art. 35 ust. 3 rodo:

„Ocena skutków dla ochrony danych, o której mowa w ust. 1, wymagana w szczególności w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.

Jednocześnie zgodnie z art. 35 ust. 7 rodo ocena skutków obligatoryjnie zawiera co najmniej

a)systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b)ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c)ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d)środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy”.

 

Jeżeli ocena skutków (stosownie do treści art. 35 ust. 1 rodo) była prowadzona to wnosimy przesłanie tej oceny.

 

  1. Wnosimy o plany audytów oraz wyniki analizy obszarów ryzyka z 2019r z działalności jednostki w zakresie m.in. wykonania budżetu oraz obszarów działalności jednostki zidentyfikowane przez audytora wewnętrznego w których zostaną przeprowadzone zadania zapewniające:

 

 

Lp.

Nazwa obszaru

Poziom ryzyka w obszarze

 

1

Współpraca z organizacjami pozarządowymi i społecznością lokalną.

?

 

2

Pomoc społeczna

?

 

3

Transport publiczny i drogi

?

 

4

Kultura i ochrona dziedzictwa narodowego.

?

 

Lp.

Temat zadania zapewniającego

1.

Realizacja polityki senioralnej. Podejmowane dziania samorządu na rzecz seniorów (osób starszych).

2.

Likwidacja barier architektonicznych oraz dostępność komunikacji miejskiej dla osób niepełnosprawnych.

3

Realizacja zadań wynikających z pełnienia funkcji zarządu dróg na ternie n miasta Olsztyna.

4

Działania samorządu w zakresie ochrony i opieki nad zabytkami.

         

 

  1. Na podstawie art. 24i ust. 1 ustawy dnia 8 marca 1990 r. o samorządzie gminnym (t.j. Dz. U. z 2015r. Nr 1515 ze zm.) informacje zawarte w oświadczeniu majątkowym są jawne, z wyłączeniem informacji o adresie zamieszkania składającego oświadczenie oraz o miejscu położenia nieruchomości . Podczas kontroli UODO w Aleksandrowie Kujawskim ustalono brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 la.Zalecenia Prezesa UODO ujęte w postanowieniu Nr ZSPU.421.3.20419 z dnia 2.10.2019 rzmieniają przepisy Ustawy o samorządzie gminnym oraz Ustawy o dostępie do informacji publicznej, nakładając na Burmistrza Miasta Aleksandrowa Kujawskiego obowiązek publikacji oświadczeń majątkowych osób które po okresie 5 letnim nie są już osobami publicznymi, i nie sprawują funkcji publicznych. Oparcie się przez Prezesa UODO w zaleceniach dotyczących publikacji na przepisach art 24 h ust. 6 Ustawy o samorządzie gminnym jest wg oraz stwierdzenie Prezesa UODO na stronie 3 zawiadomienia: „Zgodnie z art. 24 h ust.6ww. Ustawy oświadczenia przechowuje się przez okres 6 lat. Te przepisy stanowią o legalności przetwarzania, a więc gromadzenia i publikowania danych osobowych zawartych w oświadczeniach majątkowych w tym ich publikacja w BIP...”

 Dlatego też wnosimy o udzielenie informacji  jaki jest okres retencji danych? dlaczego na państwa stronie WWW znajdują się oświadczenia majątkowe radnych z okresów ponad 6 lat?

 

  1. Powszechny Spis Rolny 2020

 

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a także osobom zajmującym się ochroną danych osobowych. W tym dniu bowiem Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą w historii obowiązywania przepisów RODO karę administracyjną za brak klauzul informacyjnych.

Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.Każdy podmiot przetwarzający dane osobowe, będący  administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo  „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów. UODO i EROD wskazują, że obowiązek informacyjny musi być wykonany indywidualnie pod konkretną czynność.

W związku z tym wnosimy o informację kiedy, w jaki sposób został wykonany obowiązek informacyjny w przypadku spisu rolnego?

Kto jest odbiorcą danych? Jaka została uznana podstawa prawna?

Czy w Państwa klauzuli informacyjnej podstawę do przetwarzania danych takich jak numer telefonu oraz adres email nadal stanowi art. 6 ust. 1 lit. c ewentualnie litera e?

 

  1. Art.  28aa. Raport o stanie jst
  2. Wójt co roku do dnia 31 maja przedstawia radzie gminy raport o stanie gminy.
  3. W debacie nad raportem o stanie gminy mieszkańcy gminy mogą zabierać głos.
  4. Mieszkaniec, który chciałby zabrać głos w trybie określonym w ust. 6, składa do przewodniczącego rady pisemne zgłoszenie, poparte podpisami:

1)w gminie do 20 000 mieszkańców - co najmniej 20 osób;

2)w gminie powyżej 20 000 mieszkańców - co najmniej 50 osób.

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a także osobom zajmującym się ochroną danych osobowych.
W tym dniu bowiem Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą w historii obowiązywania przepisów RODO karę administracyjną za brak klauzul informacyjnych.

Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.

Każdy podmiot przetwarzający dane osobowe, będący  administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.

Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo  „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów. UODO i EROD wskazują, że obowiązek informacyjny musi być wykonany indywidualnie pod konkretną czynność. W związku z powyższym wnosimy o informację kiedy, w jaki sposób został wykonany obowiązek informacyjny w przypadku debacie o stanie gminy? Kto jest odbiorcą danych? Jaka została uznana podstawa prawna? Czy podstawą prawną  użytą w klauzuli informacyjnej jest zgoda na przetwarzanie danych? Czy też podstawą prawną wskazaną w klauzuli informacyjnej jest 6 ust. 1 lit. c RODO w celu wypełnienia obowiązku prawnego ciążącego na administratorze w związku z treścią art. 28aa ustawy z dnia 8 marca 1990r. o samorządzie gminnym –przeprowadzenia debaty nad raportem o stanie gminy oraz art. 6 ust. 1 lit. c RODO w zw. z art. 20 ust. 1b ustawy o samorządzie gminnym? Wnosimy o przesłanie klauzuli informacyjnej dotyczącej raportu o stanie gminy.

 

Spotkaliśmy się z KLAUZULAMI INFORMACYJNYMI GDZIE PODSTAWĄ PRAWNĄ JEST ZGODA.

 Jeśli podstawą do przetwarzania będzie zgoda to po pierwsze nie będzie dobrowolna a po drugie wątpliwa będzie możliwość zrealizowania prawa do cofnięcia zgody oraz usunięcia danych.  Jest to błąd tym bardziej, że obowiązek taki wynika z przepisów prawa. Takie typowe błędy prezentuje chociażby firma  cbi24 oraz verba lex, która jest zewnętrznym IOD:

 

http://www.starostwo.hrubieszow.pl/:

 

Klauzula informacyjna o przetwarzaniu danych osobowych

 

Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku  z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), informujemy, iż:

 Administratorem Pani/Pana danych osobowych jest Starosta Hrubieszowski z siedzibą: 22-500 Hrubieszów ul. Narutowicza 34 adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.  tel. 84 696 50 68

Sposoby kontaktu z inspektorem ochrony danych osobowych: za pośrednictwem adresu email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. lub pisemnie na adres Administratora.

Przetwarzanie Pani/Pana danych osobowych będzie się odbywać na podstawie art. 6 ust.1 lit. a RODO, w celu wzięcia udziału w debacie nad raportem o stanie Powiatu Hrubieszowskiego za 2019 r

Administrator powołuje się na prawnie uzasadniony interes, którym jest realizacja złożonych przez Panią/Pana danych do udziału w debacie

 

Z Pani/Pana danych osobowych będziemy korzystać do czasu trwania obowiązku wynikającego ze złożonych danych w celu udziału w debacie, a po tym czasie przez okres 5 lat, zgodnie z kategorią archiwalną B 5.

  Pani/Pana dane mogą zostać przekazane organom władzy publicznej oraz podmiotom wykonującym zadania publiczne lub działającym na zlecenie organów władzy publicznej, w zakresie  i w celach,    które wynikają z przepisów powszechnie obowiązującego prawa.

   Zgodnie z RODO, przysługuje Pani/Panu prawo dostępu do swoich danych osobowych oraz otrzymania ich kopii, prawo do sprostowania (poprawiania) swoich danych osobowych, prawo do usunięcia danych osobowych przetwarzanych bezpodstawnie, prawo wniesienia skargi do organu nadzorczego, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych.

Podanie przez Panią/Pana danych osobowych jest dobrowolne lecz brak podania danych osobowych będzie skutkował brakiem możliwości udziału w debacie.

Pani/Pana dane osobowe będą przetwarzane w sposób zautomatyzowany lecz nie będą profilowane.

 

Czy jednostka posiada błędną klauzulę informacyjną na wzór powyższej?

Czy co gorsza nie posiada wcale klauzuli informacyjnej we wskazanym zakresie?

Prosimy o weryfikację tych błędnych klauzul informacyjnych i zalecamy kontrolę-wątpliwych- IOD  w zakresie ich opracowywania.

Prosimy o zapoznanie się z prawidłowymi klauzulami, poniżej prezentujemy jedną z nich:

https://www.bip.rawamazowiecka.pl/2882,raport-o-stanie-gminy?fontsize=bigger

  1. DOPISANIE DO SPISU WYBORCÓW II TURA

 W związku z II turą wyborów oraz możliwością dopisania się do spisu wyborców wnosimy o informację czy w związku z tym został opracowany obowiązek informacyjny?

UODO i EROD wielokrotnie wskazują, że obowiązek informacyjny musi być wykonany indywidualnie pod konkretną czynność. W związku z powyższym wnosimy o informację kiedy, w jaki sposób został wykonany obowiązek informacyjny w przypadku debacie o stanie gminy? Kto jest odbiorcą danych? Jaka została uznana podstawa prawna? Czy podstawą prawną  użytą w klauzuli informacyjnej jest zgoda na przetwarzanie danych? Czy też podstawą prawną wskazaną w klauzuli informacyjnej jest 6 ust. 1 lit. c RODO w celu wypełnienia obowiązku prawnego ciążącego na administratorze oraz  art. 28 Kodeksu Wyborczego ? Czy też zgoda na przetwarzanie danych? Wnosimy o przesłanie klauzuli informacyjnej dotyczącej dopisania się do spisu wyborców.

KWALIFIKACJE IOD

Wnioskodawca jest świadomy, że nie  zawsze administrator zna przepisy RODO, jednak to na nim spoczywa obowiązek wyboru INSPEKTORA OCHRONY DANYCH ZGODNIE Z KWALIFIKACJAMI.

 

Art 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.

 

Według UODO Karami administracyjnymi obwarowane są zatem zarówno poszczególne obowiązki administratorów danych dotyczące także wyznaczania IOD. To na administratorze spoczywa ciężar wyznaczenia IOD zgodnie z kwalifikacjami i wiedzą prawniczą: https://uodo.gov.pl/pl/225/637

 

Jednakże warto zrealizować rekonesans - w tym obszarze i dokonać stosownej analizy - wykazując troskę o bezpieczeństwo danych oraz wybór IOD zgodnie z kwalifikacjami. Tymczasem często na IOD są wybierani osoby nie mające kwalifikacji, wiedzy prawniczej. Co gorsza często takie funkcje piastują osoby z wykształceniem informatycznym.

Zdaniem Wnioskodawcy: 

Dzięki działaniom sfer Rządowych (w skali makro) w ostatnim czasie sytuacja ulega  poprawie, jednakże bez szybkiej sanacji tego obszaru  (w skali mikro) również w Gminach 

 

- proces ten  będzie w dalszym ciągu przebiegał zbyt wolno   -często są to osoby przypadkowe lub informatycy, zewnętrzni IOD nie mający wiedzy prawniczej.

Dlatego prosimy o wskazanie kto u Państwa piastuję funkcję IOD oraz wnosimy o opisanie kwalifikacji i wiedzy prawniczej.

Wnosimy o wskazanie wiedzy prawniczej IOD. W przypadku braku wnosimy o zmianę IOD na osobę z kwalifikacjami o których mowa w art. 37 ust.5 RODO .

  1. ZADANIA IOD
  • W jaki sposób odbywają się systematyczne szkolenia pracowników prowadzone przez IOD. Proszę wskazać, kiedy miały one miejsce oraz zakres szkolenia – pomijając ogólny instruktaż i zapoznanie się z przepisami dot. ochrony danych.
  • Czy na bieżąco przekazywane są IOD do akceptacji pod względem prawidłowości w zakresie ochrony danych osobowych projekty dokumentów tj. projekty umów, informacji udostępnianych w Biuletynie Informacji Publicznych, projekty przepisów wewnętrznych związanych z udostępnianiem bądź pozyskiwaniem danych osobowych.

Czy IOD opracowuje klauzule informacyjne?

Dodatkowo, w kontekście pytania  -  w trybie wyżej powołanych przepisów - wnosimy o :

-  wyszczególnienie szkoleń jakie iod przeprowadził w podmiocie ( data, plan, czas trwania, podpisy)

-  czy były przeprowadzane audyty jakie iod przeprowadził w podmiocie

 

Proszę o informację nt. wykształcenia, doświadczenia zawodowego i awansów osób :burmistrza, zastępców, skarbnika i sekretarza

Czy Urząd dysponuje całościową Polityką Bezpieczeństwa Informacji, wymaganą w §20 ust. 1 i 3 ww. Rozporządzenia oraz polityki ochrony danych, rejestrów czynności, analiz ryzyka wraz z procedurami ?

Jeśli odpowiedź jest twierdząca - wnosimy o krótkie - w kilku ogólnych zdaniach - opisanie przedmiotowej polityki oraz procedur?

Czy posiadacie Państwo procedurę w zakresie oceny powagi naruszeń według wymagań EROD https://edpb.europa.eu/about-edpb/about-edpb_pl?

Jakie zostały wprowadzone zmiany w zakresie wytycznych EROD dotyczących zgody na przetwarzanie danych oraz w sprawie praw :

https://edpb.europa.eu/guidelines-your-rights_pl

 

Czy w jednostce mierzona temperatura pracowników oraz osób zewnątrz? Jeśli tak na jakiej podstawie?

Proszę podać liczbę wniosków o informację publiczną jakie wpłynęły do podmiotu, liczbę wniosków na które udzielono odpowiedzi wraz wnioskowaną informacją w roku 2020.

Aby zachować pełną jawność i transparentność działań - wnosimy o opublikowanie treści petycji na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego (Adresata)  - na podstawie art. 8 ust. 1 ww. Ustawy o petycjach .Chcemy działać w pełni jawnie i transparentnie. 

Celem naszych wniosków jest - sensu largo - usprawnienie, naprawa - na miarę istniejących możliwości - funkcjonowania struktur Administracji Publicznej - głownie w Gminach/Miastach  - gdzie jak wynika z naszych wniosków - stan faktyczny wymaga wszczęcia procedur sanacyjnych. 

 

Płocki Zespół RODO

reprezentowany przez Adam Kamiński

Płock

ulica Jachowicza

 

Komentarz:

Przedmiotowy wniosek/wnioski  - nie powinny być rozpatrywane w trybie KPA.  Urząd powinien procedować nasze wnioski  W TRYBIE Ustawy o dostępie do informacji publicznej (wynika to zazwyczaj z jego treści i powołanych podstaw prawnych). 

Pozwalamy sobie również przypomnieć, że  ipso iure art. 2 ust. 2 Ustawy o dostępie do informacji publicznej “ (…) Od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego.

 

Celem naszych wniosków jest - sensu largo - usprawnienie, naprawa - na miarę istniejących możliwości - funkcjonowania struktur Administracji Publicznej - głownie w Gminach/Miastach, szkołach, jednostek organizacyjnych  - gdzie jak wynika z naszych wniosków - stan faktyczny wymaga wszczęcia procedur sanacyjnych. 

 

W przypadku braku odpowiedzi lub odpowiedzi, które będą wskazywały braki będziemy zmuszeni dokonać odpowiednich zgłoszeń do instytucji celem dokonania kontroli oraz upublicznienia odpowiedzi i wyników

Pamiętajmy również o przepisach zawartych inter alia: w art. 225 KPA: "§ 1. Nikt nie może być narażony na jakikolwiek uszczerbek lub zarzut z powodu złożenia skargi lub wniosku albo z powodu dostarczenia materiału do publikacji o znamionach skargi lub wniosku, jeżeli działał w granicach prawem dozwolonych. § 2. Organy państwowe, organy jednostek samorządu terytorialnego i inne organy samorządowe oraz organy organizacji społecznych są obowiązane przeciwdziałać hamowaniu krytyki i innym działaniom ograniczającym prawo do składania skarg i wniosków lub dostarczania informacji - do publikacji - o znamionach skargi lub wniosku."

Eksperci NIK piszą: "Niewielka liczba składanych wniosków o udzielenie informacji publicznej, liczba skarg złożonych do WSA, jak również liczba pozwów złożonych do sądów rejonowych, świadczyć może o braku zainteresowania w egzekwowaniu powszechnego prawa do informacji publicznej. Z drugiej strony, realizację tego prawa utrudniają podmioty zobowiązane do pełnej przejrzystości swojego działania, poprzez nieudostępnianie wymaganej informacji publicznej" [Protokół pokontrolny dostępny w sieci Internet: LBY-4101-09/2010]. Mamy nadzieję, zmienić powyższą ocenę, być może nasz wniosek choć w niewielkim stopniu – przyczyni się do zwiększenia tych wskaźników.

Oczywiście - wszelkie ewentualne postępowania - ogłoszone przez Jednostkę Administracji Publicznej - będące następstwem niniejszego wniosku - należy przeprowadzić zgodnie z rygorystycznymi zasadami wydatkowania środków publicznych -  z uwzględnieniem stosowania zasad uczciwej konkurencji, przejrzystości i transparentności -  zatem w pełni lege artis. 

Płocki Zespół RODO

reprezentowany przez Adam Kamiński

Płock

ulica Jachowicza

 

 

 

 

Odpowiedź:

 

Ad. 1

Szanowny Panie w odpowiedzi na wniosek w sprawie oceny skutków monitoringu wizyjnego informuję, iż taka ocena nie była prowadzona. Monitoring wizyjny na terenie Administratora nie funkcjonuje.  W związku z powyższym Pana pytanie jest bezprzedmiotowe. 

Nie mniej jednak informuje Pana, iż nawet gdyby administrator posiadał monitoring wizyjny to w myśl art. 35 ust.10 RODO ust. 1- 7 nie stosuję się jeżeli przetwarzanie na podstawie  art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych przepisów. 

Ponadto zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia
17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WMP20180000827, wskazuję, iż monitoring wizyjny stosowany u Administratora nie spełnia kryteriów określonych w ww. wykazie, tzn. „systematyczne monitorowanie na dużą skale miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni”.

 

Ad. 2

Pytanie powinno być zaadresowane do UG.

 

Ad. 3

Pytanie powinno być zaadresowane do UG.

 

Ad. 4

Pytanie powinno być zaadresowane do UG.

 

Ad. 5

Pytanie powinno być zaadresowane do UG.

 

Ad. 6

Pytanie powinno być zaadresowane do UG.

 

Ad. 7

Administrator wyznacza inspektora ochrony danych zgodnie kwalifikacjami zawodowymi, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Inspektor ochrony danych wykazuje się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych jak również dogłębną znajomość przepisów RODO (potwierdzone poprzez fakt praktyki zawodowej, pracy naukowej czy szkoleniowej).  Wszystkie w/w wymagania  są spełnione. Poniżej szczegóły:

IOD w SAPO jest pan Rafał Andrzejewski, który jest doświadczonym trenerem, prawnikiem, wykładowcą, prelegentem na licznych seminariach (w tym w debatach z udziałem GIODO, obecnie UODO), szkoleniach otwartych i zamkniętych dla administracji ( urzędów gmin, powiatów, jednostek organizacyjnych), sądów, powiatowych urzędów pracy, biznesu, przemysłu  oraz instytucji finansowych z zakresu ochrony danych osobowych. Posiada wieloletnie doświadczenie w zakresie opracowywanie i wdrażania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym dla jednostek administracji publicznej. Specjalizuje się w ochronie danych osobowych. Autor publikacji z zakresu ochrony danych.  Wykładowca na Uniwersytecie w Białymstoku – bezpieczeństwo informacji. W ramach dotychczasowej działalności szkoleniowej zrealizował projekty szkoleniowe i audytorskie z zakresu ochrony danych osobowych między innymi dla: Kancelarii Prezesa Rady Ministrów,  Kancelarii Sejmu, Krajowej Szkoły Sądownictwa i Prokuratury, Sądu Rejonowego Warszawa-Śródmieście, Sądu Rejonowego w Poznaniu, Mahle Polska, PGNIG, ORLEN, Pharma Group Sp. z o.o.,  TAURON Ciepło S.A.,  Grupy RWE Polska., BODiE – Banki Spółdzielcze, Bank Zachodni WBK,Getin Noble Bank, Bankowości Spółdzielczej, GDDKiA, SCANIA Słupsk, Związków zawodowych i wielu innych. Pełni funkcję Inspektora Ochrony Danych w administracji publicznej, ministerstwach, sądach, podmiotach prywatnych.

 

Ad. 8

Szkolenie odbyło się 23.10.2018 r. w SAPO we Wronkach. Posiadamy także bezpłatny dostęp do platformy szkoleniowej, z której możemy korzystać w każdej chwili. W dokumentacji posiadamy listę uczestników szkolenia wraz z podpisami potwierdzającymi w nim udział, oraz certyfikaty i karty szkolenia.

IOD na bieżąco otrzymuje do akceptacji projekty umów i innych dokumentów związanych
z udostępnianiem bądź pozyskiwaniem danych osobowych. IOD opracowuje klauzule informacyjne.

 Audyt został przeprowadzony 06.05.2019 zgodnie z planem, kolejny zaplanowany był na maj 2020 r., w związku z ogłoszeniem stanu epidemii został przeniesiony na inny termin, po zniesieniu stanu epidemiologicznego.

Pytanie dotyczące wykształcenia, doświadczenia zawodowego i awansów burmistrza, sekretarza nie dotyczy SAPO, powinno być zaadresowane do UG.

SAPO dysponuje całościową Polityką Bezpieczeństwa Informacji, polityką ochrony danych, rejestrem czynności i analizą ryzyka, które nie stanowią informacji publicznej.

SAPO dysponuje procedurą naruszeń ochrony danych osobowych.

Nie mierzymy temperatury pracownikom SAPO oraz osobom zewnętrznym.

 

 

 

  • Kliknięć: 333