BIP Starostwo Powiatowe w Olecku - bip.powiat.olecko.pl

W odpowiedzi na złożony w dniu 3 grudnia 2023 r. wniosek o udostępnienie informacji publicznej zamieszczamy odpowiedź na zawarte we wniosku pytania:

1.Kiedy ostatni raz podmiot przeprowadził okresową analizę ryzyka utraty integralności, dostępności lub poufności informacji ?

Odp. Do 28.12.2023r. przeprowadzana jest analiza ryzyka do planu Audytu na 2024r.

2. Kiedy ostatni raz Kierownik JST zapewnił szkolenie osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem:

a) zagrożenia bezpieczeństwa informacji,

b) skutków naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialności prawnej,

c) stosowania środków zapewniających bezpieczeństwo informacji, w tym urządzeń i oprogramowania minimalizującego ryzyko błędów ludzkich ?

W tym przypadku nasze pytanie koresponduje sensu stricto z brzmieniem §20 ust.2 pkt. 6 wyżej wzmiankowanego Rozporządzenia.

Odp.

1)14 kwietnia 2021 r., szkolenie stacjonarnedla radnych „Radni a ochrona danych osobowych ;

2)6 lipca 2021 r. szkolenie stacjonarne dla pracowników starostwa pt. ”Bezpieczny pracownik” - 2 grupy łącznie 32 osoby;

3)28 września 2023 Szkolenia online – pt. „Bezpieczny pracownik” dla pracownika wydziału komunikacji .

Ponadto

także na podstawie art. 61 Konstytucji RP z dnia 2 kwietnia 1997r. oraz art.10 ust.1 z dnia 6 września 2001 roku ustawy o dostępie do informacji publicznej (Dz.U. z 2019 r., poz.1429)

składamy wniosek o dostęp do informacji publicznej:

1.Wnosimy o podanie danych kontaktowych Inspektora Ochrony Danych Osobowych:

Odp. W Starostwie Powiatowym w Olecku został wyznaczony Inspektor Ochrony Danych z którym można skontaktować się za pośrednictwem poczty elektronicznej iod@powiat.olecko.pl <mailto:iod@powiat.olecko.pl>. Obowiązki IOD pełni Mirosław Górski.

2.Czy Inspektor Ochrony Danych osobowych ma odpowiednie kwalifikacje? Czy korzystają Państwo z podmiotu zewnętrznego w zakresie funkcji Inspektora Ochrony Danych (IOD)? Jeżeli tak, to proszę o podanie:

a)art. 37 ust. 5 RODO wskazuje, że Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa art. 39 RODO. Proszę wykazać kwalifikacje i wiedzę prawniczą IOD.

Odp. Inspektorem Ochrony Danych jest pracownik podmiotu zewnętrznego posiadający następujące kwalifikacje:

Akademia Obrony Narodowej „Edukacja dla bezpieczeństwa”

Audytor wiodący normy ISI ISO/IEC 27001

Audytor wiodący normy ISI ISO/IEC 22301

- Czy IOD jest prawnikiem? Odp. Nie

b)termin i zakres przeprowadzenia ostatniego szkolenia RODO dla pracowników w roku 2023;

odp. 6 lipca 2021 r. szkolenie stacjonarne dla pracowników starostwapt. ”Bezpieczny pracownik”

c)termin i zakres przeprowadzenia ostatniego szkolenia z KRI dla pracowników w roku 2023;

odp. 6 lipca 2021 r. szkolenie stacjonarne dla pracowników starostwapt. ”Bezpieczny pracownik”

d)termin i zakres przeprowadzenia ostatniego szkolenia z cyberbezpieczeństwa dla pracowników w roku 2023;

odp. Planowane są szkolenia w 2024r. w ramach projektu Cyberbezpieczny Samorząd.

e)Kto w/w szkolenia przeprowadza? Zgodnie z art. 39 ust.1

Odp. za w/w szkolenia przeprowadził Inspektor Ochrony Danych

f)termin i zakres ostatniego audytu jakie przeprowadził Inspektor Ochrony Danych w roku 2023.

Odp. Audyt zgodności z RODO grudzień 2023 zgodnie z planem audytów na 2023 rok

g)czy na bieżąco Inspektor Ochrony Danych sprawdza dokumenty tj. projekty umów, informacji udostępnianych w Biuletynie Informacji Publicznych, projekty przepisów wewnętrznych związanych z udostępnianiem bądź pozyskiwaniem danych osobowych.

Odp. TAK

h)Kto dokonuje audytów z zakresu ochrony danych osobowych z ZFSS? Czy z audytu ZFSS jest sporządzany raport? Czy powyższe zadanie realizuje Inspektor Ochrony Danych?

Odp. TAK Czynności audytowe przeprowadzone w dniu 28 sierpnia 2023 r.

Art. 8 1d. Ustawa o ZFSS Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1a i 1c.

3.W jaki sposób IOD realizuje swoje zadania ( audyty, szkolenia, konsultacje). //Wnosimy o dokumentację potwierdzająca realizację zadań przez IOD lub opis jego działań od dnia 25 maja 2018 roku (zadań wynikających z art. 39 rozporządzenia RODO)

Odp. IOD realizuje swoje działania w oparciu o „Roczne ramowe plany audytów i działań w obszarze ochrony danych osobowych zatwierdzane rok rocznie przez Administratora.

Raporty dokumentujące działania audytowe IOD stanowią dokumentację wewnętrzną Administratora (opisującą sposoby zabezpieczenia danych osobowych) i jako takie nie podlegają udostępnieniu na gruncie ustawy z dnia 6 września 2001 r o dostępie do informacji publicznej.

Odpowiedzialność za niespełnienie wymagań ciąży na Inspektorze Ochrony Danych oraz Administratorze.

4.Czy w roku 2023 był u Państwa przeprowadzony audyt z Krajowych Ram Interoperacyjności?

„Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: […] *zapewnienia okresowego audytu* wewnętrznego w zakresie bezpieczeństwa informacji, *nie rzadziej niż raz na rok*”.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych(Dz. U. z 2012r. poz. 526).– §20 ust. 2 pkt 14 tj.:

Jeżeli tak, to proszę podać:

a)Wykonawca - firma zewnętrzna czy pracownik instytucji;

Odp. Audyt został przeprowadzony przez firmę zewnętrzną.

b)Termin ostatniego audytu KRI;

Odp. Ostatni audyt został przeprowadzony 17.11.2023 r.

c)Zakres audytu

Odp. Zgodny z wymogami.

d)Opisanie w skrócie dokumentacji SZBI

Odp. Opracowanie oraz wdrożenie dokumentacji SZBI jest jednym z zadań planowanych w ramach realizacji projektu Cyberbezpieczny Samorząd w 2024r.

Sekretarz Powiatu 

/-/Ewa Kleszczewska