DRZDO/DEC/618/08/26185 dot. DRZDO-401/004420/06
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
DECYZJA
z dnia 26 września 2008 r.
Na podstawie art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 4a i 5, art. 44 ust. 2 pkt 1,
art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm.), art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), § 3 i 4 rozporządzenia Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie rejestracji zbioru danych
osobowych o nazwie „Kartotekowa ewidencja czytelników Biblioteki Publicznej w Szczańcu”,
zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych przez Gminną
Bibliotekę Publiczną w Szczańcu
1) odmawiam Gminnej Bibliotece Publicznej w Szczańcu, rejestracji zbioru danych
osobowych o nazwie „Kartotekowa ewidencja czytelników Biblioteki Publicznej w Szczańcu”,
2) nakazuję Gminnej Bibliotece Publicznej w Szczańcu, ograniczenie przetwarzania
danych osobowych zgromadzonych w zbiorze o nazwie „Kartotekowa ewidencja czytelników
Biblioteki Publicznej w Szczańcu”, wyłącznie do ich przechowywania do czasu
zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy
o ochronie danych osobowych.
U z a s a d n i e n i e
W dniu 7 listopada 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych
wpłynęło zgłoszenie do rejestracji zbioru danych o nazwie „Kartotekowa ewidencja czytelników
Biblioteki Publicznej w Szczańcu” dokonane przez Gminną Bibliotekę Publiczną w Szczańcu,
zwaną dalej „Wnioskodawcą”.
Złożone przez Wnioskodawcę zgłoszenie zbioru danych osobowych nie spełniało wymogów
niezbędnych do zarejestrowania ww. zbioru danych. Zgłoszenie nie zawierało bowiem informacji o
odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane oraz wyczerpującego
opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926
z późn. zm.), zwanej dalej również „ustawą”.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych
obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych
do rejestracji, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa
w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony
Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru
danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych
i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Zgodnie z art. 41 ust. 1 pkt 4a i 5 ustawy zgłoszenie zbioru danych do rejestracji powinno
zawierać informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być
przekazywane oraz opis środków technicznych i organizacyjnych zastosowanych w celach
określonych w art. 36-39 ustawy. Powołane przepisy, zawarte w Rozdziale 5 ustawy –
Zabezpieczenie danych osobowych, obligują administratora danych do zastosowania środków
technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności
do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez
osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem
lub zniszczeniem. Stosownie do ich treści, na administratorze danych ciąży w szczególności
obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz
środki ich ochrony (art. 36 ust. 2 ustawy), wyznaczenia administratora bezpieczeństwa informacji
(art. 36 ust. 3 ustawy), nadzorującego przestrzeganie zasad ochrony danych osobowych (chyba że
administrator danych sam wykonuje te czynności), nadania upoważnień osobom dopuszczonym
do przetwarzania danych osobowych (art. 37 ustawy), a także prowadzenia ewidencji osób
upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 ustawy). Na ww. dokumentację,
stosownie do treści § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), składa się
polityka bezpieczeństwa (§ 4 rozporządzenia) i instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych (§ 5 rozporządzenia).
Brak w zgłoszeniu ww. informacji stanowi przesłankę odmowy rejestracji zgłoszonego
zbioru danych, określoną w art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 4a i 5 ustawy.
Z tych względów oraz wobec nieuzupełnienia przez Wnioskodawcę zgłoszenia
o informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
oraz informacje dotyczące opracowania i wdrożenia polityki bezpieczeństwa, wyznaczenia
administratora bezpieczeństwa informacji, nadania upoważnień osobom dopuszczonym
do przetwarzania danych osobowych, a także prowadzenia ewidencji osób upoważnionych
do przetwarzania danych osobowych Generalny Inspektor Ochrony Danych Osobowych
był zobligowany do wydania decyzji odmawiającej rejestracji zbioru danych o nazwie
„Kartotekowa ewidencja czytelników Biblioteki Publicznej w Szczańcu”.
Należy podkreślić, iż Wnioskodawca, stosownie do treści art. 44 ust. 4 ustawy, może
ponownie zgłosić zbiór danych o nazwie „Kartotekowa ewidencja czytelników Biblioteki
Publicznej w Szczańcu” do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
na obowiązującym wzorze zgłoszenia, po usunięciu wad, które były powodem odmowy rejestracji
tego zbioru, tj. po uzupełnieniu ponownego zgłoszenia w/w zbioru o informacje dotyczące:
· odbiorców lub kategorii odbiorców, którym dane mogą być przekazywane,
· opracowania i wdrożenia polityki bezpieczeństwa,
· wyznaczenia administratora bezpieczeństwa informacji,
· nadania upoważnień osobom dopuszczonym do przetwarzania danych osobowych,
· prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych
na każdym etapie prowadzonego postępowania, a także po jego zakończeniu, przysługuje prawo
i obowiązek realizacji zadań, w które został wyposażony mocą przepisów ustawy o ochronie
danych osobowych i ustawy – Kodeks postępowania administracyjnego, w tym kontrola wykonania
nakazów nałożonych na administratorów danych w decyzji.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3 Kpa,
przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora
Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny
Inspektor Ochrony Danych Osobowych ulica Stawki 2, 00-193 Warszawa).
Oprac. Maja Welenc
24.09.2008 r.
