>Decyzje Giodo>2008 >

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 28 marca 2008 r

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1
i art. 22 w związku z art. 24 ust. 1 pkt 2, pkt 3 i pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu
postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Bibliotekę.
nakazuję Bibliotece, usunięcie uchybień w procesie przetwarzania danych osobowych,

poprzez realizację obowiązku informacyjnego, o którym mowa w art. 24 ust. 1, pkt 2, pkt 3 i
pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm.), tj. w zakresie informowania czytelników Czytelni o celu zbierania
danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz
ich poprawiania, a także o dobrowolności podania danych, w terminie dwóch miesięcy od
dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych
przeprowadzili kontrolę (sygn. akt DIS-K-421/16/08) w Bibliotece w celu ustalenia zgodności
przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024) zwanym dalej
rozporządzeniem.
W toku kontroli odebrano od pracowników Biblioteki ustne wyjaśnienia oraz dokonano
oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny
został szczegółowo opisany w protokole kontroli, który został podpisany przez Dyrektora Biblioteki.
Na podstawie zgromadzonego w toku kontroli materiału dowodowego ustalono, że w
procesie przetwarzania danych osobowych, Biblioteka, jako administrator danych osobowych
naruszyła przepisy o ochronie danych osobowych, gdyż nie realizuje wobec czytelników Czytelni
Biblioteki obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 2, pkt 3 i pkt 4 ustawy o
ochronie danych osobowych, tj. nie informuje o celu zbierania danych, a w szczególności o znanych
w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania
danych.
W odpowiedzi na zawiadomienie o wszczęciu postępowania Dyrektor Biblioteki pismem z dnia
12 marca 2008 r. sygn. ND/091/1/08, złożył wyjaśnienia, w których poinformował, że
przygotowywany jest obecnie zaktualizowany tekst „Polityki bezpieczeństwa danych osobowych w
Bibliotece, nowe wzory deklaracji czytelniczych, upoważnień do przetwarzania danych osobowych
oraz oświadczeń pracowników mających dostęp do danych osobowych. Dokumenty te będą
obowiązywały na mocy zarządzenia Dyrektora Biblioteki, które zostanie wydane do końca maja
2008 r. Aktualizacja zarządzenia i załączników do niego jest związana z przygotowaniem procedur
do planowanego na sierpień 2008 r. uruchomienia modułu wypożyczania oraz elektronicznej
rejestracji czytelników.
Jak wskazano w ww. piśmie, nowa deklaracja czytelnicza będzie zawierała nazwę-L adres
siedziby Biblioteki oraz informacje wynikające z art. 24 ust. 1 ustawy o ochronie danych
osobowych tj.: a) informację o celu zbierania danych (ustalenie tożsamości czytelnika, badania
statystyczne), • . •
b) informację o prawie dostępu przez czytelnika do treści swoich danych oraz ich poprawiania,
c) informację o obowiązku podania danych osobowych przez czytelnika, wynikających ze Statutu
Biblioteki nadanego Zarządzeniem nr 21 Ministra Kultury i Dziedzictwa Narodowego oraz
Zarządzeniem nr 8/2006 Dyrektora Biblioteki z dnia 9 lutego 2006 r. w sprawie zmiany
regulaminów udostępniania zbiorów w czytelniach Biblioteki.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny
Inspektor Ochrony Danych Osobowych zważył co następuje.
Zgodnie z art. 24 ust. 1 ustawy w przypadku zbierania danych osobowych od osoby, której one
dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby
i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna -o miejscu
swojego zamieszkania oraz imieniu i nazwisku; 2) celu zbierania danych, a w szczególności
o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach
odbiorców danych; 3) prawie dostępu do treści swoich danych oraz ich poprawiania; 4)
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o j ego
podstawi e prawnej.
W toku kontroli ustalono, iż Biblioteka nie realizuje wobec czytelników Czytelni
obowiązku informacyjnego, o którym mowa w art. 24 ust. 1, pkt 2, pkt 3 i pkt 4 ustawy, gdyż
deklaracje wypełniane przez czytelników ww. czytelni nie zawierają informacji o celu
zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści swoich danych oraz ich
poprawiania, a także o dobrowolności podania danych. Należy w tym miejscu wskazać, iż zgodnie z
art. 51 ust.1 Konstytucji Rzeczypospolitej Polskiej, obowiązek podania danych osobowych możewynikać
jedynie z aktu rangi ustawowej. Z przepisów ustaw, na podstawie których działa
Biblioteka, w tym ustawy z dnia 27 czerwca 1997 r. o bibliotekach (Dz!U'"Nr 85, późn. zm.), nie
wynika obowiązek podania danych przez czytelników. Jednocześnie, należy podkreślić, iż poza
przypadkami ustawowymi przekazanie danych jest dobrowolne, natomiast ich niepodanie może
jedynie skutkować odmową dokonania określonej czynności. Administrator danych powinien zatem
informować nie tylko o dobrowolności podania danych, lecz także o skutkach odmowy ich podania,
np. powołując obowiązujące w tym zakresie wewnętrzne regulacje odnoszące się do wskazanych
kwestii. Biorąc powyższe pod uwagę należy wskazać, iż Biblioteka powinna informować o
dobrowolności podania danych osobowych, wskazując jednocześnie na skutki odmowy
przekazania tych danych z powołaniem wewnętrznych przepisów obowiązujących w Bibliotece.
Generalny Inspektor uwzględniając wyjaśnienia strony dotyczące podjęcia działań
zmierzających do przywrócenia stanu zgodnego z prawem poprzez wprowadzenie nowych wzorów
deklaracji czytelniczych, zawierających informacje, o których mowa w art. 24 ust. 1 ustawy,
wyznaczył dwumiesięczny termin wykonania niniejszej decyzji.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w
sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz
art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji
może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2,
00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia
doręczenia niniejszej decyzji.