Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Decyzje Giodo>2009 >



DIS/DEC-306/13534/09 dot. DIS-K-421/159/08
2009-08-24

 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

 


Warszawa, dnia 16 kwietnia 2009 r.

 

DECYZJA

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 26 ust. 1 pkt 1, art. 31 ust. 1 i ust 2, art. 36 ust. 1, art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz § 7 ust. 1 pkt 1 i pkt 2 oraz § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie przetwarzania danych osobowych przez X,

umarzam postępowanie w niniejszej sprawie.

 

Uzasadnienie

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w X, zwana dalej Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U.z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanym dalej rozporządzeniem.


W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Wiceprezesa Spółki.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:


1. Przetwarzaniu danych osobowych pracowników, w zakresie znaków szczególnych oraz poprzedniego adresu zameldowania niezgodnie z przepisami prawa (art. 26 ust. 1 pkt 1 ustawy).
2. Przetwarzaniu bez podstawy prawnej danych osobowych obejmujących przetworzone do postaci cyfrowej (kod w postaci ciągu cyfr) informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki (art. 26 ust. 1 pkt 1 ustawy).
3. Nieokreśleniu w umowie o powierzenie przetwarzania danych osobowych zakresu oraz celu przetwarzania danych osobowych pracowników Spółki, w związku z obsługa kadrowo-płacową Spółki (art 31 ust.1 i ust 2).
4. Niezabezpieczeniu segregatorów z dokumentacją zawierającą dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy).
5. Nieopracowaniu pisemnych procedur dotyczących przekazywania do archiwum oraz wypożyczenia z archiwum dokumentacji zawierającej dane osobowe (art. 38 ustawy)
6. Niezapewnieniu kontroli nad tym, kiedy dane zostały do zbiorów wprowadzone, bowiem system informatyczny o nazwie „Symfonia” nie zapewniał odnotowywania informacji o dacie pierwszego wprowadzenia danych do systemu (§ 7 ust. 1 pkt 1 rozporządzenia).
7. Niezapewnieniu, aby system informatyczny o nazwie „Symfonia” odnotowywał dla każdej osoby, której dane osobowe są przetwarzane w tym systemie informatycznym, identyfikator użytkownika wprowadzającego dane osobowe do systemu (§ 7 ust. 1 pkt 2 rozporządzenia).
8. Niezapewnieniu, przez systemy informatyczne o nazwie: „Symfonia” i „Victor”, dla każdej osoby, której dane osobowe są przetwarzane w tym systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1 rozporządzenia (§ 7 ust. 3 rozporządzenia).


W związku z powyższym pismem z dnia 23 grudnia 2008 r. (sygn. DIS-K-421/159/08/35689), zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.


W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Wiceprezes Spółki pismem z dni 6 stycznia 2009 r., z dnia 20 lutego 2009 r., z dnia 13 marca 2009 r. i z dnia 30 marca 2009 r. złożył wyjaśnienia, w których poinformował, że:


1. Kserokopie dowodów osobistych osób zatrudnionych w Spółce zostały zniszczone.
2. Przetwarzanie danych osobowych w zakresie kodów cyfrowych (linie papilarne wykorzystywane do ewidencji czasu pracy) – zostało zaniechane. Czas pracy obecnie ewidencjonowany jest za pomocą kart zbliżeniowych.
3. Regały gdzie przechowywane są segregatory z dokumentacją zawierającą dane osobowe zostały wyposażone w drzwi zamykane na klucz.
4. Z Biurem Rachunkowym, zajmującym się obsługa kadrowo-płacową Spółki został podpisany aneks do umowy określający zakres i cel przetwarzania danych osobowych.
5. Została sporządzona i wprowadzona „Instrukcja Archiwalna”.
6. Dokonano zmian w systemach informatycznych o nazwach „Victor” i „Symfonia” w zakresie możliwości sporządzenia raportu, o którym mowa w § 7 ust. 3 rozporządzenia.
7. System informatyczny o nazwie „Symfonia” umożliwia odnotowanie daty pierwszego wprowadzenia danych oraz odnotowanie identyfikatora użytkownika wprowadzającego dane do systemu.
Do powyższych pism załączono dowody w postaci: kserokopii „Instrukcji Archiwalnej”; zrzutu ekranu z systemu informatycznego „Victor”; korespondencji z autorem programu informatycznego o nazwie „Symfonia”; kserokopii aneksu do umowy z Biurem Rachunkowym; kserokopii protokołu zniszczenia kserokopii dowodów osobistych pracowników Spółki; zrzutu ekranu z systemu
informatycznego o nazwie „Symfonia”; wydruku przykładowego raportu z systemu informatycznego o nazwie „Symfonia”.


Generalny Inspektor Ochrony Danych Osobowych po przeprowadzeniu analizy całego zebranego w niniejszej sprawie materiału dowodowego stwierdza, iż uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot niniejszego postępowania, zostały przez Spółkę. usunięte, tj.:
1. Zaprzestano przetwarzania danych osobowych w zakresie znaków szczególnych oraz poprzedniego adresu zameldowania poprzez zniszczenie kserokopie dowodów osobistych osób zatrudnionych w Spółce.
2. Zaprzestano przetwarzania danych osobowych w zakresie kodów cyfrowych (linii papilarnych) w celu ewidencji czasu pracy.
3. Zabezpieczono segregatory z dokumentacją zawierającą dane osobowe poprzez zamontowanie w regałach drzwi zamykanych na klucz.
4. Podpisano aneks do umowy z Biurem Rachunkowym, w którym określono zakres i cel przetwarzania danych osobowych.
5. Została opracowana i wprowadzona „Instrukcja Archiwalna”.
6. Zmodyfikowano systemy informatyczne o nazwach „Victor” i „Symfonia” poprzez możliwość sporządzenia raportu, o którym mowa w § 7 ust. 3 rozporządzenia.
7. Zmodyfikowanie systemu informatycznego o nazwie „Symfonia”, poprzez zapewnienie odnotowania daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego dane.


Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. S.A./Sz1029/97).
Z uwagi na usunięcie uchybień w procesie przetwarzania danych osobowych postępowanie administracyjne należało umorzyć, jako bezprzedmiotowe.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji