DIS/DEC-1290/48005/09 dot. DIS-K-421/158/09
2010-08-06
DIS/DEC-1290/48005/09 dot. DIS-K-421/158/09
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 22 grudnia 2009 r.
DECYZJA
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), § 7 ust. 1 pkt 1 i pkt 2 oraz § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Prezydenta Miasta– Urząd Miasta,
umarzam postępowanie w niniejszej sprawie.
Uzasadnienie
Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili u Prezydenta Miasta – w Urzędzie Miasta 4, kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. DIS-K-421/158/09), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej również rozporządzeniem. W toku kontroli odebrano od pracowników Urzędu Miasta ustne wyjaśnienia oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezydenta Miasta.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Prezydent Miasta, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. Niezapewnieniu, aby system informatyczny o nazwie „Platforma Edukacyjna” odnotowywał datę pierwszego wprowadzenia danych do systemu oraz identyfikator użytkownika wprowadzającego dane osobowe do systemu (§ 7 ust. 1 pkt 1 i pkt 2 rozporządzenia).
2. Niezapewnieniu, aby system informatyczny o nazwie „Platforma Edukacyjna” zapewniała dla każdej osoby, której dane osobowe są przetwarzane w systemie, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje o dacie pierwszego wprowadzenia danych do systemu oraz identyfikatorze użytkownika wprowadzającego dane do systemu (§ 7 ust. 3 rozporządzenia).
W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. Pismem zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie (DIS-K-421/158/09/42618), administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Zastępca Prezydenta Miasta, w piśmie z dnia 1 grudnia 2009 r., złożyła wyjaśnienia, w których poinformowała m.in., że uchybienia wskazane w piśmie zawiadamiającym o wszczęciu postępowania administracyjnego zostały usunięte, tj. system informatyczny o nazwie „Platforma Edukacyjna” zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu i identyfikatora użytkownika wprowadzającego dane osobowe do systemu, jak również sporządzenie i wydrukowanie raportu zawierającego powyższe informacje.
Ponadto, do ww. pisma został załączony, jako dowód mający potwierdzić przesłane wyjaśnienia, zrzut ekranu przedstawiający funkcjonalności systemu informatycznego o nazwie „Platforma Edukacyjna”.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Na podstawie złożonych przez Zastępcę Prezydenta Miasta wyjaśnień oraz pozostałych dowodów należy stwierdzić, że uchybienia w procesie przetwarzania danych osobowych stanowiące przedmiot postępowania zostały usunięte, tj.: system informatyczny o nazwie „Platforma Edukacyjna” zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu i identyfikatora użytkownika wprowadzającego dane osobowe do systemu, jak również sporządzenie i wydrukowanie raportu zawierającego powyższe informacje.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz1029/97). W toku postępowania usunięte zostały uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania i dlatego należało je umorzyć.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
