>Decyzje Giodo>2010 >

DIS/DEC- 1022/32681/10 dot. DIS-K-421/107/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
dr Wojciech R. Wiewiórowski

Warszawa, dnia 17 sierpnia 2010 r.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Spółkę,
nakazuję Spółce usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez zastosowanie kryptograficznej ochrony danych osobowych osób świadczących Spółki usługi na podstawie umów zlecenia, podczas przesyłania tych danych przez M Sp. z o.o. do Spółki w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili w Spółce, kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (DIS-K-421/107/10), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku wyżej wymienionej kontroli odebrano od Prezesa Zarządu Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Zarządu Spółki.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienie to polegało na przesyłaniu siecią internet do Spółki przez M Sp. z o.o danych osobowych osób świadczących, na podstawie umów zlecenia, usługi Spółce, niezabezpieczonych kryptograficzną ochroną danych.
W dniu 21 lipca 2010 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. Pismem zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie (nr DIS-K-421/24/107/29259/10), administrator danych, tj. Spółka została poinformowana o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
Pismem z dnia 23 lipca 2010 r. Prezes Zarządu Spółki wyjaśnił, iż Spółka zaprzestała praktyki polegającej na przesyłaniu danych osobowych pracowników do M Sp. z o.o poprzez sieć internet.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z art. 36 ust. 1 ustawy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
W toku kontroli ustalono, iż na podstawie umowy powierzenia przetwarzania danych osobowych zawartej w dniu 25 czerwca 2010 r. Spółka powierzyła M Sp. z o.o przetwarzanie danych osobowych osób świadczących, na podstawie umów zlecenia, usługi Spółce. Dane w zakresie imię, nazwisko oraz kwota wynagrodzenia tych osób M Sp. z o.o. przesyła siecią Internet Spółce w celu zatwierdzenia ich wynagrodzenia. Przesyłane siecią internet dane osobowe pracowników Spółki nie są zabezpieczone kryptograficzną ochroną danych. Należy zatem uznać, iż dane te nie są zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, a zatem został naruszony art. 36 ust. 1 ustawy.
Zauważyć należy ponadto, iż wyjaśnienia złożone pismem z dnia 23 lipca 2010 r. dotyczą wyłącznie kwestii przesyłania przez Spółkę danych osobowych jej pracowników do M Sp. z o.o., która nie jest objęta przedmiotem niniejszego postępowania, natomiast w żaden sposób nie odnoszą się one do kwestii przesyłania danych przez M Sp. z o.o. do Spółki.
Mając powyższe na uwadze, w tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art.129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia niniejszej decyzji.