>Decyzje Giodo>2009 >

DRZDO/DEC-77/09/3759 dot. DRZDO-401/001450/06

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, z dnia 5 lutego 2009 r.

DECYZJA

Na podstawie art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 3a, 4 i 5, art. 44 ust. 2 pkt 1, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), § 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych o nazwie <<Biuro Obrotu Nieruchomościami „X”>>, zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych przez Y prowadzącą działalność gospodarczą pod nazwą Biuro Obrotu Nieruchomościami „X
1) odmawiam Y prowadzącej działalność gospodarczą pod nazwą Biuro Obrotu Nieruchomościami „X” rejestracji zbioru danych osobowych o nazwie <<Biuro Obrotu Nieruchomościami „X”>>;
2) nakazuję X prowadzącej działalność gospodarczą pod nazwą Biuro Obrotu Nieruchomościami „X”, ograniczenie przetwarzania danych osobowych zawartych w zbiorze o nazwie <<Biuro Obrotu Nieruchomościami „X”>> wyłącznie do ich przechowywania do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych.

Uzasadnienie

W dniu 24 marca 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło zgłoszenie do rejestracji zbioru danych osobowych o nazwie <<Biuro Obrotu Nieruchomościami „X”>> złożone przez Y prowadzącą działalność gospodarczą pod nazwą Biuro Obrotu Nieruchomościami „X” zwaną dalej „Wnioskodawcą”. Zgłoszenie nie spełniało wymogów niezbędnych do zarejestrowania ww. zbioru danych, nie zawierało bowiem opisu kategorii osób, których dane dotyczą, informacji o sposobie udostępniania danych ze zbioru oraz wyczerpującego opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej „ustawą”.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych do rejestracji, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie danych naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Zgodnie z art. 41 ust. 1 pkt 3a, 4 i 5 ustawy, zgłoszenie zbioru danych osobowych do rejestracji powinno zawierać m.in.: opis kategorii osób, których dane dotyczą, informację o sposobie udostępniania danych, oraz opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy. Jednocześnie art. 36–39 ustawy obligują administratora danych do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Na administratorze danych ciąży w szczególności obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki ich ochrony (art. 36 ust. 2 ustawy), wyznaczenia administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy), nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba, że administrator danych sam wykonuje te czynności, nadania upoważnień osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy), a także prowadzenia ewidencji osób
upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 ustawy).
Na ww. dokumentację, stosownie do treści § 3 powołanego rozporządzenia, składa się polityka bezpieczeństwa (§ 4 rozporządzenia) i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 5 rozporządzenia). Brak w zgłoszeniu ww. informacji, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 3a, 4 i 5ustawy.
Odmawiając rejestracji zbioru danych, Generalny Inspektor Ochrony Danych mOsobowych nakazał Wnioskodawcy ograniczenie przetwarzania danych osobowych zgromadzonych w przedmiotowym zbiorze wyłącznie do ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu. Z tych względów oraz wobec nieuzupełnienia przez Wnioskodawcę zgłoszenia o informacje dotyczące: kategorii osób których dane dotyczą, sposobu udostępniania danych, opracowania i wdrożenia polityki bezpieczeństwa, nadania upoważnień osobom dopuszczonym do przetwarzania danych osobowych i prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych, Generalny Inspektor Ochrony Danych Osobowych był zobligowany do wydania decyzji odmawiającej rejestracji zbioru danych o nazwie <<Biuro Obrotu Nieruchomościami „X”>>. Odmawiając rejestracji zbioru danych, Generalny Inspektor Ochrony Danych Osobowych nakazał Wnioskodawcy ograniczenie przetwarzania danych zgromadzonych w zbiorze o nazwie <<Biuro Obrotu Nieruchomościami „X”>> wyłącznie do ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu.
Należy podkreślić, iż Wnioskodawca stosownie do treści art. 44 ust. 4 ustawy, może ponownie zgłosić zbiór o nazwie <<Biuro Obrotu Nieruchomościami „X”>> do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na obowiązującym wzorze zgłoszenia, po usunięciu wad, które były powodem odmowy rejestracji tego zbioru, tj. po uzupełnieniu ponownego zgłoszenia ww. zbioru o informacje dotyczące:
- kategorii osób których dane dotyczą,
- udostępniania danych ze zbioru,
- opracowania i wdrożenia polityki bezpieczeństwa,
- nadania upoważnień osobom dopuszczonym do przetwarzania danych osobowych,
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych na każdym etapie prowadzonego postępowania, jak również po jego zakończeniu przysługuje mprawo oraz obowiązek realizacji zadań, w które wyposażony został na mocy przepisów ustawy o ochronie danych osobowych, a także ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), w tym kontrola wykonania nakazów nałożonych na administratorów danych w decyzji.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 127 § 3 ustawy Kodeks postępowania administracyjnego, przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).