>Decyzje Giodo>2008 >

DIS/DEC-288/11881/08 Dot.: DIS-K-421/9/08

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 9 maja 2008 r.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 zpóźn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, pkt 6 i art. 22 w związku z art. 26 ust. 1 pkt 1 i pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Spółkę X z siedzibą w (...)
Nakazuję Spółce X z siedzibą w (…) przy ul. (…) przywrócenie stanu zgodnego z prawem,
poprzez:
1. Usunięcie danych osobowych przetwarzanych w zbiorze o nazwie „Baza danych osób zainteresowanych preparatami Y” jako przechowywanych w postaci umożliwiającej identyfikację osób po osiągnięciu celu ich przetwarzania, w terminie siedmiu dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
2. Zaprzestanie zbierania danych osobowych pracowników w zakresie szerszym niŜ jest to określone w przepisach prawa, tj. w zakresie nazwiska rodowego matki, od dnia, w którym niniejsza decyzja stanie się ostateczna.
3. Usunięcie ze zbioru danych osobowych pracowników danych w zakresie nazwiska rodowego matki pracownika, w terminie czternastu dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie
 

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w Spółce X. z siedzibą w (...) przy ul. (…) (dalej również: Spółce) w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt DIS-K-421/9/08), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od Prezesa Zarządu oraz pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Zarządu Spółki. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych, Spółka, jako administrator danych naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. Przechowywaniu przez Spółkę danych osobowych w zbiorze o nazwie „Baza danych osób zainteresowanych preparatami Y” w postaci umożliwiającej identyfikację osób, których dane dotyczą, po osiągnięciu celu ich przetwarzania.
2. Przetwarzaniu danych osobowych pracowników Spółki w zakresie szerszym niŜ jest to
Określone w przepisach prawa, tj. nazwiska rodowego matki.
W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. Pismem zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie (nr DIS-K-421/9/08), administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Pomimo to, Spółka nie złożyła wyjaśnień oraz nie przedstawiła dowodów potwierdzających usunięcie wskazanych uchybień.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z treścią art. 26 ust. 1 pkt 4 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
W toku kontroli ustalono, że w Spółce przechowywane są dane osobowe zebrane do zbioru „Baza danych osób zainteresowanych preparatami Y”. Dane te przetwarzane są zarówno w systemie informatycznym o nazwie „Z”, jak i w postaci wypełnionych kuponów. Spółka zgłosiła zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w 2002 r. Zbiór ten był jednorazowo wykorzystany do akcji promocyjnej. Dane z tego zbioru nie są przetwarzane w inny sposób. Obecnie zbiór jest przechowywany w Spółce w celach archiwalnych i planowane jest usunięcie tego zbioru.
Na podstawie powyższych ustaleń należy stwierdzić, że cel, dla którego zebrane zostały dane osobowe przetwarzane w ww. zbiorze został osiągnięty, dlatego brak jest podstaw do dalszego przechowywania tych danych. Spółka powinna zatem usunąć przedmiotowe dane.
Zgodnie z treścią art. 26 ust. 1 pkt 1 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Natomiast, zgodnie z treścią art. 221 § 1, § 2, § 4 i § 5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21 poz. 94 z późn. zm.), pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.
Jak ustalono, Spółka pozyskuje dane osobowe pracowników dotyczące nazwiska rodowego matki wskazane wyżej dane osobowe nie zostały wymienione w art. 221 § 1 i § 2 ustawy Kodeks pracy. Biorąc pod uwagę treść art. 221 § 4 ustawy Kodeks pracy, który stanowi, że pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów należy uznać, iż Spółka nie jest uprawniona do zbierania danych osobowych swoich pracowników dotyczących nazwiska rodowego matki. Obowiązek podania ww. danych przez pracowników Spółki nie wynika bowiem z odrębnych przepisów. Ponadto z uwagi na brak podstaw do zbierania danych w ww. zakresie Spółka powinna usunąć przedmiotowe dane z prowadzonego zbioru danych osobowych pracowników.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.