DRZDO/DEC/652/08/27364 dot. DRZDO-401/004698/05
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
DECYZJA
z dnia 14 października 2008 r.
Na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
zwanej dalej „ustawą” oraz art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), po przeprowadzeniu
postępowania w sprawie rejestracji zbioru danych o nazwie „Rejestr potencjalnych
ubezpieczonych”, zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych w dniu 23 listopada 2005 r. przez X prowadzącego działalność gospodarczą pod nazwą
Y.
1) odmawiam X prowadzącemu działalność gospodarczą pod nazwą Y rejestracji zbioru
danych osobowych o nazwie „Rejestr potencjalnych ubezpieczonych”,
2) nakazuję X prowadzącemu działalność gospodarczą pod nazwą Y
a) usunięcie ze zbioru danych o nazwie „Rejestr potencjalnych ubezpieczonych”
danych nieadekwatnych do celu ich przetwarzania tj.: dotyczących numeru
ewidencyjnego PESEL, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu
osobistego,
b) ograniczenie przetwarzania w zbiorze o nazwie „Rejestr potencjalnych
ubezpieczonych” innych, niż wymienione w pkt. 2a) danych osobowych, wyłącznie do
ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym
zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych.
U z a s a d n i e n i e
W dniu 23 listopada 2005 r. X prowadzący działalność gospodarczą pod nazwą Y zgłosił
Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji zbiór danych o nazwie
„Rejestr potencjalnych ubezpieczonych”.
W związku z wątpliwościami co do zakresu danych osobowych przetwarzanych w tym
zbiorze Generalny Inspektor Ochrony Danych Osobowych zwrócił się, na podstawie art. 14 pkt 2
ustawy, do wnioskodawcy o złożenie stosownych wyjaśnień. Wnioskodawca został przy tym
pouczony, iż administrator danych zobowiązany jest przestrzegać zasad przetwarzania danych,
określonych w art. 26 ust. 1 ustawy, m.in. zapewnić, aby dane były adekwatne w stosunku do
celów, w jakich są przetwarzane, a naruszenie tych zasad stanowi przesłankę wydania decyzji
o odmowie rejestracji zbioru danych osobowych. Administrator danych nie złożył jednakże
żadnych wyjaśnień.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych
obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych
do rejestracji, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa
w art. 43 ust. 1 ustawy.
Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych
odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,
2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy,
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych
i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.
Administrator danych, przetwarzając w ramach zbioru zbyt szeroki zakres informacji
o osobach, naruszył art. 26 ust. 1 pkt 3 ustawy. Wnioskodawca w zgłoszeniu oświadczył bowiem, iż
przetwarza m.in. dane dotyczące numeru ewidencyjnego PESEL, Numeru Identyfikacji Podatkowej
oraz serii i numeru dowodu osobistego. Tymczasem zważywszy na treść art. 26 ust. 1 pkt 3 ustawy,
administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób,
których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby były one merytorycznie
poprawne i adekwatne w stosunku do celów, dla których są przetwarzane. Administrator danych,
jako cel przetwarzania danych osobowych w zbiorze, wskazał „marketing, promocję produktów
oferowanych przez administratora danych oraz analizę rynku”. Tak określony cel przetwarzania
danych nie uzasadnia konieczności pozyskiwania dla jego realizacji danych, o których mowa
powyżej.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych był zobligowany do
wydania decyzji odmawiającej rejestracji zbioru danych osobowych o nazwie „Rejestr
potencjalnych ubezpieczonych” i nakazującej zarazem usunięcie ze zbioru danych nieadekwatnych
w stosunku do celu ich przetwarzania, a ponadto ograniczenie przetwarzania wszystkich innych
kategorii danych zawartych w tym zbiorze wyłącznie do ich przechowywania, do czasu
zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy
o ochronie danych osobowych.
Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych
na każdym etapie prowadzonego postępowania, a także po jego zakończeniu, przysługuje prawo
i obowiązek realizacji zadań, w które został wyposażony mocą przepisów ustawy
o ochronie danych osobowych i ustawy - Kodeks postępowania administracyjnego, w tym
kontrola wykonania nakazów nałożonych na administratorów danych w decyzji.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3 Kpa,
przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora
Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny
Inspektor Ochrony Danych Osobowych ulica Stawki 2, 00-193 Warszawa).
