DRZDO/DEC-614/08/26181 dot. DRZDO-401/003126/07
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
DECYZJA
z dnia 26 września 2008 r.
Na podstawie art. 44 ust. 1 pkt 1, art. 44 ust. 2 pkt 1, art. 22 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz
art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
(Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), po przeprowadzeniu postępowania w sprawie
zgłoszenia do rejestracji zbioru danych osobowych o nazwie „System Informacji
Oświatowej” złożonego, dotyczącego faktycznie dwóch zbiorów danych osobowych, tj.:
- zbioru danych „osób które zatrudnione są w oświacie”,
- zbioru danych „osób podlegających obowiązkowi nauki i obowiązkowi szkolnemu”,
I. odmawiam Gminie rejestracji zbioru danych:
1) „osób, które zatrudnione są w oświacie”,
2) „osób podlegających obowiązkowi nauki i obowiązkowi szkolnemu”,
II. nakazuję Gminie, ograniczenie przetwarzania wszystkich kategorii danych
osobowych zawartych:
1) w zbiorze danych „osób, które zatrudnione są w oświacie”,
2) w zbiorze danych „osób podlegających obowiązkowi nauki i obowiązkowi
szkolnemu”, wyłącznie do ich przechowywania, do czasu zarejestrowania tych zbiorów po ich
ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych.
U z a s a d n i e n i e
W dniu 3 września 2007 r. do Biura Generalnego Inspektora Ochrony Danych
Osobowych wpłynęło zgłoszenie do rejestracji zbioru danych osobowych o nazwie „System
Informacji Oświatowej” złożone przez Gminę, zwaną dalej „Wnioskodawcą”. Złożone
zgłoszenie dotyczyło faktycznie dwóch zbiorów danych osobowych tj.:
1) zbioru danych „osób, które zatrudnione są w oświacie”,
2) zbioru danych „osób podlegających obowiązkowi nauki i obowiązkowi
szkolnemu”.
W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych
poinformował Wnioskodawcę o konieczności prawidłowego, tj. zgodnego z przepisami
ustawy o ochronie danych osobowych zgłoszenia każdego podlegającego obowiązkowi
rejestracji zbioru danych, na odrębnym formularzu zgłoszenia. Wnioskodawca nie dokonał
jednak takich zgłoszeń.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa w art. 40 nakłada na administratora danych obowiązek zgłoszenia zbioru
danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem
przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to „każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy). Stosownie do
treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych odmawia,
w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych
i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych należy dokonać poprzez wypełnienie urzędowego formularza
zgłoszenia, którego wzór określa załącznik do rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100,
poz. 1025). Przepis art. 41 ust. 1 ustawy wskazuje jaki zakres informacji musi zawierać
zgłoszenie zbioru danych osobowych do rejestracji. Zgodnie z jego treścią zgłoszenie zbioru
danych do rejestracji powinno obejmować: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych
osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli
został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego
siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób,
których dane dotyczą, oraz zakres przetwarzania danych, 4) sposób zbierania oraz
udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane
mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych
w celach określonych w art. 36-39 ustawy, 6) informację o sposobie wypełnienia warunków
technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7)
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Analiza treści oraz literalne brzmienie art. 40 i art. 41 ust. 1 ustawy, jednoznacznie
wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować swym zakresem tylko
jeden zbiór danych osobowych. Administrator danych dokonując zgłoszenia zbioru danych
do rejestracji powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się
między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą
prawną prowadzenia zbioru. Z uwagi na powyższe, wypełnienie jednego zgłoszenia dla kilku
zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować
poszczególnych zbiorów objętych tym zgłoszeniem, tym samym nie można dla każdego
z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej
przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze,
a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa
w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
W związku z tym nie można uznać, iż Wnioskodawca prawidłowo wypełnił ciążący
na nim obowiązek, o którym mowa w art. 40 ustawy, ponieważ nie zgłosił do rejestracji,
w sposób określony w ustawie, zbiorów danych:
1) „osób które zatrudnione są w oświacie”,
2) „osób podlegających obowiązkowi nauki i obowiązkowi szkolnemu”.
Wobec powyższego, spełniona została przesłanka odmowy rejestracji ww. zbiorów
określona w art. 44 ust. 1 pkt 1 ustawy. Generalny Inspektor Ochrony Danych Osobowych był
zatem zobligowany odmówić rejestracji zbioru danych „osób które zatrudnione są w
oświacie” oraz „osób podlegających obowiązkowi nauki i obowiązkowi szkolnemu”,
i nakazać ograniczenie przetwarzania wszystkich kategorii danych zawartych w tych
zbiorach wyłącznie do ich przechowywania, do czasu zarejestrowania tych zbiorów po ich
ponownym zgłoszeniu na odrębnych formularzach zgłoszenia, którego wzór stanowi
załącznik do w/w rozporządzenia.
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych
na każdym etapie prowadzonego postępowania, jak również po jego zakończeniu przysługuje
prawo oraz obowiązek realizacji zadań, w które wyposażony został na mocy przepisów
ustawy, a także Kodeksu postępowania administracyjnego, w tym kontrola wykonania
nakazów nałożonych na administratora danych w decyzji.
Mając na uwadze powyższe, Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3
ustawy Kodeks postępowania administracyjnego, przysługuje prawo do złożenia wniosku
o ponowne rozpatrzenie sprawy do Generalnego Inspektora Ochrony Danych Osobowych,
w terminie 14 dni od daty otrzymania decyzji (adres: Generalny Inspektor Ochrony Danych
Osobowych, ul. Stawki 2, 00-193 Warszawa).
