DRZDO/DEC/489/08//21604 dot. DRZDO-401/004492/06
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
DECYZJA
z dnia 20 sierpnia 2008 r.
Na podstawie art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5, art. 44 ust. 2 pkt 1,
art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm.), art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), §§ 3 i 5 rozporządzenia Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych
osobowych o nazwie „Baza danych prospektów”, zgłoszonego do rejestracji Generalnemu
Inspektorowi Ochrony Danych Osobowych przez X prowadzącego działalność gospodarczą pod
firmą H,
1) odmawiam X prowadzącemu działalność gospodarczą pod firmą X rejestracji zbioru
danych osobowych o nazwie „Baza danych prospektów”,
2) nakazuję X prowadzącemu działalność gospodarczą pod firmą X ograniczenie
przetwarzania danych osobowych zgromadzonych w zbiorze o nazwie „Baza danych
prospektów”, wyłącznie do ich przechowywania do czasu zarejestrowania tego zbioru po jego
ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych.
U z a s a d n i e n i e
W dniu 13 listopada 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych
wpłynęło zgłoszenie do rejestracji zbioru danych o nazwie „Baza danych prospektów” dokonane
przez X prowadzącego działalność gospodarczą pod firmą H zwanego dalej „Wnioskodawcą”.
Złożone przez Wnioskodawcę zgłoszenie zbioru danych osobowych nie spełniało wymogów
niezbędnych do zarejestrowania ww. zbioru danych. Zgłoszenie nie zawierało bowiem
wyczerpującego opisu środków technicznych i organizacyjnych zastosowanych w celach
określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również „ustawą”.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych
obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych
do rejestracji, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa
w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony
Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru
danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych
i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Zgodnie z art. 41 ust. 1 pkt 5 ustawy zgłoszenie zbioru danych do rejestracji powinno
zawierać opis środków technicznych i organizacyjnych zastosowanych w celach określonych
w art. 36-39 ustawy. Powołane przepisy, zawarte w Rozdziale 5 ustawy – Zabezpieczenie danych
osobowych, obligują administratora danych do zastosowania środków technicznych
i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do
zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Stosownie do ich treści, na administratorze danych ciąży w szczególności obowiązek prowadzenia
dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki ich ochrony
(art. 36 ust. 2 ustawy), wyznaczenia administratora bezpieczeństwa informacji (art. 36 ust. 3
ustawy), nadzorującego przestrzeganie zasad ochrony danych osobowych (chyba że administrator
danych sam wykonuje te czynności), nadania upoważnień osobom dopuszczonym do przetwarzania
danych osobowych (art. 37 ustawy), a także prowadzenia ewidencji osób upoważnionych do
przetwarzania danych osobowych (art. 39 ust. 1 ustawy). Na ww. dokumentację, stosownie do treści
§ 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), składa się polityka bezpieczeństwa
(§ 4 rozporządzenia) i instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych (§ 5 rozporządzenia).
Brak w zgłoszeniu ww. informacji stanowi przesłankę odmowy rejestracji zgłoszonego
zbioru danych, określoną w art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5 ustawy.
Z tych względów oraz wobec nieuzupełnienia przez Wnioskodawcę zgłoszenia o informacje
dotyczące opracowania i wdrożenia instrukcji zarządzania systemem informatycznym oraz
wyznaczenia administratora bezpieczeństwa informacji, Generalny Inspektor Ochrony Danych
Osobowych był zobligowany do wydania decyzji odmawiającej rejestracji zbioru danych o nazwie
„Baza danych prospektów”.
Należy podkreślić, iż Wnioskodawca, stosownie do treści art. 44 ust. 4 ustawy, może
ponownie zgłosić zbiór danych o nazwie „Baza danych prospektów” do rejestracji Generalnemu
Inspektorowi Ochrony Danych Osobowych na obowiązującym wzorze zgłoszenia, po usunięciu
wad, które były powodem odmowy rejestracji tego zbioru, tj. po uzupełnieniu ponownego
zgłoszenia w/w zbioru o informacje dotyczące:
· opracowania i wdrożenia instrukcji zarządzania systemem informatycznym,
· wyznaczenia administratora bezpieczeństwa informacji (chyba że administrator
danych sam wykonuje te czynności).
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych
na każdym etapie prowadzonego postępowania, a także po jego zakończeniu, przysługuje prawo
i obowiązek realizacji zadań, w które został wyposażony mocą przepisów ustawy o ochronie
danych osobowych i ustawy – Kodeks postępowania administracyjnego, w tym kontrola wykonania
nakazów nałożonych na administratorów danych w decyzji.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3 Kpa,
przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora
Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny
Inspektor Ochrony Danych Osobowych ulica Stawki 2, 00-193 Warszawa).
