Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Decyzje Giodo>2010 >



DIS/DEC – 178/7025/10 dot. DIS-K-421/121/09
2010-09-15

 

DIS/DEC – 178/7025/10 dot. DIS-K-421/121/09

 


GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

 

Warszawa, dnia 18 lutego 2010 r.

 

DECYZJA

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 24 ust. 1 pkt 3 i pkt 4 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Powiatowy Urząd Pracy,


umarzam postępowanie w niniejszej sprawie.


 

Uzasadnienie


Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę (sygn. akt DIS-K-421/121/09) w Powiatowym Urzędzie Pracy, zwanym dalej także Urzędem Pracy, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
W toku kontroli odebrano od Zastępcy Dyrektora oraz pracowników Urzędu Pracy ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli (sygn. akt DIS-K-421/121/09), który został podpisany przez Zastępcę Dyrektora Urzędu Pracy.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Powiatowy Urząd Pracy, jako administrator danych naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. Niedopełnieniu obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 3 i pkt 4 ustawy o ochronie danych osobowych w stosunku do osób, które za pomocą systemu informatycznego o nazwie „A” (służącego do przetwarzania danych osobowych klientów
zamawiających termin wizyty) zamawiają termin wizyty w Urzędzie Pracy.
2. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności niezabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną (art. 36 ust. 1 ustawy), gdyż jak ustalono w toku kontroli, podczas rejestracji użytkownika w ww. systemie transfer danych odbywa się za pomocą łącz nieszyfrowanych.
Pismem z dnia 26 listopada 2009 r. (sygn. DIS-K-421/121/09/43988), stanowiącym zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Urząd Pracy został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji o prawie do wypowiedzenia się co do zebranych dowodów i materiałów.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Urzędu Pracy, pismem z dnia 7 grudnia 2009 r., (znak: 091-7/09) i pismem z dnia 21 stycznia 2010 r. (znak: 091-7/09/10), przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody mające potwierdzić ich usunięcie.
Ze złożonych wyjaśnień wynika, iż:
1. Na stronie internetowej www została zamieszczona informacja, o prawie dostępu do treści swoich danych oraz ich poprawiania, jak również, że podanie danych jest niezbędne w celu dokonania rezerwacji terminu wizyty w Urzędzie Pracy.
2. Transfer danych podczas rejestracji użytkownika w systemie informatycznym o nazwie „A” (służącym do przetwarzania danych osobowych klientów zamawiających termin wizyty) odbywa się za pomocą łącz szyfrowanych.
Ponadto, do ww. pism załączono dokumenty mające potwierdzić usunięcie uchybień stwierdzonych w toku kontroli, tj.:
kserokopię faktury VAT MP Nr 24/09/2009 z dnia 23 września 2009 r. na zakupu
i instalację certyfikatu SSL,
kserokopię „Regulaminu Świadczenia Usługi Dostępu do Systemu Kolejkowego Drogą Elektroniczną”,
wydruk ze strony internetowej www zawierający m.in. informację o prawie dostępu do treści swoich danych oraz ich modyfikacji oraz informacji, że podanie danych jest niezbędne w celu dokonania rezerwacji terminu wizyty w Urzędzie Pracy,
wydruk ze strony internetowej Urzędu Pracy dotyczący rezerwacji wizyt w Urzędzie Pracy.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył co następuje.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz 1029/97).
Przeprowadzona analiza przedstawionych dowodów w postaci wyjaśnień, o których mowa powyżej i ww. dokumentów wskazuje, iż uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot niniejszego postępowania, zostały przez Powiatowy Urząd Pracy usunięte tj.:
1. Osoby, które za pomocą strony internetowej www zamawiają termin wizyty w Urzędzie Pracy, informowane są o prawie dostępu do treści swoich danych oraz ich poprawiania, jak również, że podanie danych jest niezbędne w celu dokonania rezerwacji terminu wizyty w Urzędzie Pracy (art. 24 ust. 1 pkt 3 i pkt 4 ustawy).
2. Zabezpieczono dane osobowe przetwarzane w systemie informatycznym o nazwie „A” (służącym do przetwarzania danych osobowych klientów zamawiających termin wizyty) za pomocą łącz szyfrowanych (art. 36 ust. 1 ustawy).
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji