DIS/DEC-29/1781/10 dot. DIS-K-421/140/09
2010-06-18
DIS/DEC-29/1781/10 dot. DIS-K-421/140/09
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 15 stycznia 2010 r.
DECYZJA
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 26 ust. 1 pkt 4, art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Zarząd Transportu Miejskiego,
I. Nakazuję Zarządowi Transportu Miejskiego usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez:
1) usunięcie danych dotyczących wizerunków osób, którym wydano imienną Kartę Miejską, w terminie 4 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna,
2) zapewnienie, aby dane w zbiorze danych o nazwie „S” były przetwarzane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, poprzez określenie terminów usuwania danych, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
II. W pozostałym zakresie postępowanie umarzam.
Uzasadnienie
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili w Zarządzie Transportu Miejskiego (dalej ZTM) kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. DIS-K-421/140/09), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). W toku kontroli odebrano od pracowników ZTM ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Dyrektora ZTM.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie
przetwarzania danych osobowych ZTM, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. Przechowywaniu wizerunków osób, które złożyły „Wnioski o wydanie Karty Miejskiej” dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, tj. wyrobienia imiennej Karty Miejskiej (art. 26 ust. 1 pkt 4 ustawy).
2. Nieokreśleniu przez ZTM terminów usuwania danych przetwarzanych w zbiorze danych o nazwie „S” w przypadku, gdy cel ich przetwarzania zostanie osiągnięty (art. 26 ust. 1 pkt 4 ustawy).
3. Niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych aktualizacji zbioru danych o nazwie „S” (art. 41 ust. 2 ustawy). W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne (sygn. DIS-K-421/140/09/45463), w celu wyjaśnienia okoliczności sprawy.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego ZTM pismem z dnia 16 grudnia 2009 r. (ZTM-NI09/ZK) złożył wyjaśnienia, w których poinformował, że:
1. Została zgłoszona aktualizacja zbioru danych o nazwie „”.
2. Określono w Polityce Bezpieczeństwa Informacji termin przechowywania danych osobowych studentów w zbiorze danych „S”.
3. Dane o wizerunku użytkowników karty miejskiej będą sukcesywnie usuwane z bazy. Dane zostaną usunięte nie później niż do dnia 31 grudnia 2010 r. Na stronie internetowej ZTM umieszczono komunikat informujący o możliwości odbioru zdjęcia dołączonego do wniosku o wydanie karty miejskiej. Nieodebrane w terminie zdjęcia zostaną komisyjnie zniszczone.
Ponadto, do ww. pisma załączono dowody w postaci: kopii zgłoszenia o zmianie informacji podanych w zgłoszeniu zbioru danych o nazwie „S”; kopię załącznika nr 2 do Polityki Bezpieczeństwa Informacji.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z art. 26 ust. 1 pkt 4 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
1. W toku kontroli ustalono, iż zdjęcia załączane do wniosków o wydanie Karty Miejskiej (dalej KM) przechowywane są przez ZTM w formie papierowej i elektronicznej w celu
ewentualnego wydania kolejnej imiennej KM (duplikat). Zdjęcia w formie papierowej są zwracane wnioskodawcom na ich prośbę. ZTM nie wymaga od osoby ubiegającej się o wydanie kolejnej imiennej KM złożenia wniosku o wydanie KM i załączenia zdjęcia. Kolejna Karta Miejska (duplikat) wydawana jest na postawie danych znajdujących się w ZTM.
Wobec powyższego uznano, iż przetwarzanie przez ZTM danych o wizerunku użytkowników KM (zdjęć użytkowników KM) po wyrobieniu ww. kart i wydaniu ich użytkownikom narusza przepis art. 26 ust. 1 pkt 4 ustawy, bowiem cel przetwarzania danych dotyczących wizerunku osób, które złożyły „Wnioski o wydanie Karty Miejskiej” jest osiągany z chwilą wydania KM wnioskodawcy.
Pismem z dnia 16 grudnia 2009 r. (ZTM-NI09/ZK) ZTM wyjaśnił, iż dane o wizerunku użytkowników karty miejskiej będą sukcesywnie usuwane z bazy. Dane zostaną usunięte nie później niż do dnia 31 grudnia 2010 r. Na stronie internetowej ZTM umieszczono komunikat informujący o możliwości odbioru zdjęcia dołączonego do wniosku o wydanie karty miejskiej. Nieodebrane w terminie zdjęcia zostaną komisyjnie zniszczone.
Biorąc powyższe wyjaśnienia pod uwagę wskazać należy, iż zdjęcia osób składających „Wnioski o wydanie Karty Miejskiej”, przetwarzane w formie papierowej jak i w systemie informatycznym, powinny być usuwane przez ZTM niezwłocznie po wydaniu użytkownikowi KM,
gdyż cel dla którego zostały zebrane jest osiągany z chwilą wydania karty. Z uwagi na to, iż ZTM nie usunął zdjęć osób, którym wydano Karty Miejskie, uznać należy, że przedmiotowe uchybienie nie zostało usunięte.
2. Jak ustalono w toku kontroli w zbiorze danych o nazwie „S” przetwarzane są (w formie papierowej jaki i w systemie informatycznym) dane użytkowników KM i studentów posiadających elektroniczne legitymacje studenckie z możliwością naładowania na nich biletu okresowego. W toku kontroli ustalono, iż dane osób, którym wydano KM są przetwarzane na podstawie art. 23 ust. 1 pkt 1 ustawy, tj. zgody osoby, wyrażonej na formularzu o nazwie „wniosek o wydanie karty miejskiej”. Ww. dane są przetwarzane w celu wydania karty ewentualnie jej wtórnika oraz w celach identyfikacyjnych i ewidencyjnych. Dane ww. osób są przechowywane do momentu rezygnacji przez użytkownika z karty miejskiej, tj. do momentu gdy użytkownik karty zwróci się do ZTM z wypełnionym wnioskiem o nazwie „wniosek o zwrot kaucji”. Na podstawie ww. wniosku użytkownikowi zwracana jest kaucja za KM. Ponadto użytkownik może na ww. wniosku wyrazić zgodę „(...) na przetwarzanie danych osobowych w systemie biletu elektronicznego w celu wykorzystania ich do ponownego wyrobienia karty”. Dane użytkownika karty nie są usuwane jeżeli wyrazi on ww. zgodę.
Ponadto, w toku kontroli ustalono, iż studenci posiadający elektroniczne legitymacje studenckie z możliwością naładowania na nich biletu okresowego składają w ZTM wnioski o umożliwienie ładowania legitymacji studenckiej biletami okresowymi. Dane studentów są przetwarzane na podstawie art. 23 ust. 1 pkt 1 ustawy, tj. zgody wyrażonej na ww. wniosku. W toku kontroli ustalono, iż nie wyznaczono okresu przechowywania danych osobowych studentów, którzy złożyli wnioski o umożliwienie ładowania legitymacji studenckiej biletami okresowymi. Biorąc powyższe ustalenia pod uwagę uznano, iż niezbędne jest określenie przez ZTM terminów usuwania danych przetwarzanych w zbiorze danych o nazwie „S” w przypadku, gdy cel ich przetwarzania zostanie osiągnięty.
Pismem z dnia 16 grudnia 2009 r. (ZTM-NI09/ZK) ZTM wyjaśnił, iż w Polityce
Bezpieczeństwa Informacji określono termin przechowywania danych osobowych studentów w zbiorze danych „S”. Ponadto, w Polityce Bezpieczeństwa Informacji zawarto zapis o treści:
„Dane osobowe ze zbioru e-biletowego, zawarte na karcie miejskiej emitowanej przez ZTM, są przechowywane do momentu rezygnacji z karty ponieważ na wnioskach wyrażana jest zgoda na przetwarzanie danych osobowych. Dopóki karta jest w posiadaniu pasażera zakłada się, że osoba pragnie z niej korzystać i w każdej chwili może zawrzeć umowę przewozową. Dane osobowego zapisywane na karcie studenckiej są usuwane z systemu e-biletowego po 6 latach, czyli po okresie ważności legitymacji studenckiej”.
Odnosząc się do ww. wyjaśnień oraz załączonych do nich dowodów wskazać należy, iż ZTM nie określił w sposób kompleksowy i jednoznaczny terminów usuwania danych osobowych
ze zbioru danych o nazwie „S”. W Polityce Bezpieczeństwa określono jedynie termin usuwania danych osobowych studentów z „systemu e-biletowego”. Natomiast nie określono terminów usuwania danych studentów zawartych na wnioskach o umożliwienie ładowania legitymacji studenckiej biletami okresowymi. Ponadto, wskazanie w ww. polityce, iż „Dane osobowe ze zbioru e-biletowego, zawarte na karcie miejskiej emitowanej przez ZTM, są przechowywane do momentu rezygnacji z karty ponieważ na wnioskach wyrażana jest zgoda na przetwarzanie danych
osobowych” nie może być uznane za prawidłowe, bowiem fakt, iż użytkownik karty wyraził zgodę na przetwarzanie danych osobowych i otrzymał kartę nie oznacza, iż jego dane osobowe mogą być przetwarzane bezterminowo. Przetwarzanie danych użytkowników kart do momentu rezygnacji przez nich z karty może skutkować m.in. tym, iż ZTM będzie przetwarzał bezterminowo dane osób, które zaprzestały korzystania z KM i nie poinformowały o tym ZTM. Zatem bezterminowe przechowywanie danych narusza zasadę, o której mowa w art. 26 ust. 1 pkt 4 ustawy.
W przedmiotowej sprawie niezbędne jest określenie przez ZTM terminów usuwania danych (przetwarzanych w formie papierowej i w systemie informatycznym) ze zbioru danych o nazwie „S” dotyczących m.in.: osób, którym wydano KM, a które nie zasilają jej biletami okresowymi; czy też osób, które wyraziły zgodę na przetwarzanie danych osobowych „w systemie biletu elektronicznego w celu wykorzystania ich do ponownego wyrobienia karty”, a które przez dłuższy okres czasu nie zgłaszają się do ZTM z wnioskiem o ponowne wyrobienie KM.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r. S.A./Sz 1029/97).
W toku postępowania ZTM usunął pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, poprzez: zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych aktualizacji zbioru danych o nazwie „S”. Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
