Sprawozdanie Komisja Sprawiedliwości i Praw Człowieka z dnia 08 lipca 2010 r. w sprawie nowelizacji ustawy
...

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Decyzje Giodo>2008 >



DRZDO/DEC/474/08/20711 dot. DRZDO-401/000833/06
2009-04-26

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

 

DECYZJA

z dnia 11 sierpnia 2008 r.

Na podstawie art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5, art. 44 ust. 2 pkt 1,
art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm.), art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), §§ 3, 4 i 5 rozporządzenia
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych
osobowych o nazwie „Beneficjenci dla Sektora MSP”, zgłoszonego do rejestracji Generalnemu
Inspektorowi Ochrony Danych Osobowych przez Stowarzyszenie

1) odmawiam Stowarzyszeniu rejestracji zbioru danych osobowych o nazwie
„Beneficjenci dla Sektora MSP”,
2) nakazuję Stowarzyszeniu ograniczenie przetwarzania danych osobowych
zgromadzonych w zbiorze o nazwie „Beneficjenci dla Sektora MSP”, wyłącznie do ich przechowywania
do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie
do art. 44 ust. 4 ustawy o ochronie danych osobowych.

 

U z a s a d n i e n i e

W dniu 20 lutego 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych
wpłynęło zgłoszenie do rejestracji zbioru danych o nazwie „Beneficjenci dla Sektora MSP”
dokonane przez Stowarzyszenie zwane dalej „Wnioskodawcą”.
Złożone przez Wnioskodawcę zgłoszenie zbioru danych osobowych nie spełniało wymogów
niezbędnych do zarejestrowania ww. zbioru danych. Zgłoszenie nie zawierało bowiem
wyczerpującego opisu środków technicznych i organizacyjnych zastosowanych w celach
określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również „ustawą”.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych
obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych
do rejestracji, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa
w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony
Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru
danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych
i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Zgodnie z art. 41 ust. 1 pkt 5 ustawy zgłoszenie zbioru danych do rejestracji powinno
zawierać opis środków technicznych i organizacyjnych zastosowanych w celach określonych
w art. 36-39 ustawy. Powołane przepisy, zawarte w Rozdziale 5 ustawy – Zabezpieczenie danych
osobowych, obligują administratora danych do zastosowania środków technicznych
i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do
zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Stosownie do ich treści, na administratorze danych ciąży w szczególności obowiązek prowadzenia
dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki ich ochrony
(art. 36 ust. 2 ustawy), wyznaczenia administratora bezpieczeństwa informacji (art. 36 ust. 3
ustawy), nadzorującego przestrzeganie zasad ochrony danych osobowych (chyba że administrator
danych sam wykonuje te czynności), nadania upoważnień osobom dopuszczonym do przetwarzania
danych osobowych (art. 37 ustawy), a także prowadzenia ewidencji osób upoważnionych do
przetwarzania danych osobowych (art. 39 ust. 1 ustawy). Na ww. dokumentację, stosownie do treści
§ 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), składa się polityka bezpieczeństwa
(§ 4 rozporządzenia) i instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych (§ 5 rozporządzenia).
Brak w zgłoszeniu ww. informacji stanowi przesłankę odmowy rejestracji zgłoszonego
zbioru danych, określoną w art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5 ustawy.
Z tych względów oraz wobec nieuzupełnienia przez Wnioskodawcę zgłoszenia
o informacje dotyczące opracowania i wdrożenia polityki bezpieczeństwa oraz instrukcji
zarządzania systemem informatycznym Generalny Inspektor Ochrony Danych Osobowych był
zobligowany do wydania decyzji odmawiającej rejestracji zbioru danych o nazwie „Beneficjenci
dla Sektora MSP”.
Należy podkreślić, iż Wnioskodawca, stosownie do treści art. 44 ust. 4 ustawy, może
ponownie zgłosić zbiór danych o nazwie „Beneficjenci dla Sektora MSP” do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych na obowiązującym wzorze zgłoszenia,
po usunięciu wad, które były powodem odmowy rejestracji tego zbioru, tj. po uzupełnieniu
ponownego zgłoszenia w/w zbioru o informacje dotyczące opracowania i wdrożenia polityki
bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych
na każdym etapie prowadzonego postępowania, a także po jego zakończeniu, przysługuje prawo
i obowiązek realizacji zadań, w które został wyposażony mocą przepisów ustawy o ochronie
danych osobowych i ustawy – Kodeks postępowania administracyjnego, w tym kontrola wykonania
nakazów nałożonych na administratorów danych w decyzji.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3 Kpa,
przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora
Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny
Inspektor Ochrony Danych Osobowych ulica Stawki 2, 00-193 Warszawa).
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone       Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione