>Decyzje Giodo>2010 >

DRZDO/DECdot. DRZDO-401/003301/08

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

z dnia 25 maja 2010 r.

DECYZJA

Na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3, art. 44 ust. 2 w związku z art. 18 ust. 1 pkt 6 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pózn. zm.), oraz art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z pózn. zm.), po przeprowadzeniu postępowania administracyjnego w związku ze zgłoszeniem do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych o nazwie „Portal edukacyjny dla …” zgłoszonego do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych przez: D.D., A. M., S. P.– wspólników spółki cywilnej (…):
1) odmawiam: D. D., A. M., S. P. – wspólnikom spółki cywilnej (…)rejestracji zbioru danych osobowych o nazwie „Portal edukacyjny dla ….”
2) nakazuje: D. D., A. M., S. P. – wspólnikom spółki cywilnej (…):
a) usuniecie ze zbioru danych o nazwie „Portal edukacyjny dla …” danych nieadekwatnych do celu ich przetwarzania, tj. numerów ewidencyjnych PESEL.
b) ograniczenie przetwarzania w zbiorze o nazwie „Portal edukacyjny dla …” innych, niż wymienione w pkt 2a) danych osobowych, wyłącznie do ich przechowywania do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych.

Uzasadnienie
 

W dniu 5 sierpnia 2008 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło zgłoszenie do rejestracji zbioru danych osobowych o nazwie „Portal edukacyjny dla …”, złożone przez: D.D., A. M., S. P.– wspólników spółki cywilnej (…).
W treści nadesłanego zgłoszenia zbioru wnioskodawca oświadczył, iż w celu rejestracji danych użytkowników portalu dla możliwości identyfikacji oraz kontaktu przetwarza w przedmiotowym zbiorze m. in. numer ewidencyjny PESEL. W związku z wątpliwościami dotyczącymi adekwatności przetwarzania przedmiotowych danych we wskazanym wyżej celu, Generalny Inspektor Ochrony Danych Osobowych, pismami z dnia 8 kwietnia 2009 r. (sygn. DRZDO/401/003301/08/12517/09) oraz z dnia 7 sierpnia 2009 r. (sygn. DRZDO/401/003301/08/29101/09), zwrócił sie o złożenie wyjaśnień. Administrator nie udzielił jednak odpowiedzi.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje. Ustawa w art. 40 wprowadziła dla administratora danych obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych do rejestracji, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 pkt 2 ustawy, Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy.
W myśl art. 26 ust. 1 pkt 3 ustawy, administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby były one merytorycznie poprawne i adekwatne w stosunku do celów, dla których są przetwarzane. Adekwatność powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi osobowymi, a interesem administratora danych. Równowaga jest zachowana wówczas, gdy administrator przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim te dane są przez niego przetwarzane. W praktyce administratorzy danych często pozyskują dane ponad rzeczywiste potrzeby, wykraczając poza zakres danych uzasadniony realizacja ściśle określonego celu. Na powyższe zagadnienie zwraca uwagę również doktryna i podkreśla, że „aspekt niezbędności nie jest brany pod uwagę i dochodzi (m. in. z przyzwyczajenia) do zbierania danych ponad rzeczywiste potrzeby” (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze, Kraków 2001 r. str. 359).
Administrator danych nie uzasadnił konieczności przetwarzania w zgłoszonym zbiorze numeru ewidencyjnego PESEL. W ocenie Generalnego Inspektora Ochrony Danych Osobowych przetwarzanie przez: D.D., A. M., S. P.– wspólników spółki cywilnej (…) wyżej wskazanych danych wykracza poza potrzeby wynikające z celu ich przetwarzania w przedmiotowym zbiorze, tj. rejestracji danych użytkowników portalu edukacyjnego możliwości identyfikacji oraz kontaktu.
Mając na uwadze powyższe przepisy prawa oraz fakt, iż administrator danych przetwarza dane w zakresie szerszym niż jest to potrzebne do realizacji celu, należy uznać, iż narusza on zasadę adekwatności, o której mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych był zobligowany do wydania decyzji odmawiającej rejestracji zgłoszonego zbioru danych osobowych, na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 ustawy.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. Zgodnie z art. 44 ust. 4 ustawy administrator danych może ponownie zgłosić przedmiotowy zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, po usunięciu wad, które były powodem odmowy rejestracji tego zbioru. Zgłoszenia można dokonać droga elektroniczna, za pomocą programu komputerowego umożliwiającego jego prawidłowe wypełnienie, dostępnego na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 § 3 ustawy Kodeks postępowania administracyjnego, przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora Ochrony Danych Osobowych, w terminie 14 dni od daty otrzymania decyzji (adres: Generalny Inspektor Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa)