>Decyzje Giodo>2010 >

DIS/DEC -1116/37005/10 dot. DIS-K-421/74/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
dr Wojciech R. Wiewiórowski

Warszawa, dnia 16 września 2010 r.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 24 ust. 1 pkt 3 i pkt 4, art. 25 ust. 1, art. 36 ust. 2 i art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) oraz § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Fundację „XYZ”, zajmującą się adopcją zwierząt,
Nakazuję Fundacji „XYZ” usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. Dopełnianie wobec osób adoptujących zwierzęta, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 3 i pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), tj. informowanie ww. osób o prawie dostępu do treści swoich danych oraz ich poprawiania oraz o dobrowolności podania danych, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.
2. Dopełnienie wobec osób, które zaadoptowały zwierzęta, a których dane osobowe nie zostały od nich pozyskane, obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), tj. poinformowanie ww. osób o: 1) adresie swojej siedziby i pełnej nazwie, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8,
w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.
3. Opracowanie i wdrożenie dokumentu stanowiącego politykę bezpieczeństwa, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
4. Zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczącego osób adoptujących zwierzęta, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie
Inspektor upoważniony przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadził kontrolę Fundacji „XYZ”, zwanej dalej również Fundacją, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt DIS-K-421/74/10), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od Prezesa Fundacji ustne wyjaśnienia. Stan faktyczny został szczegółowo opisany w protokole kontroli (sygn. DIS-K- 421/74/10), który został podpisany przez Prezesa Fundacji. Na podstawie zgromadzonego materiału dowodowego ustalono, że Fundacja „XYZ”, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:
1. Nieinformowaniu osób adoptujących zwierzęta, o prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych (art. 24 ust. 1 pkt 3 i pkt 4
ustawy).
2. Niedopełnieniu obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy, w stosunku do osób, których dane osobowe zostały włączone do zbioru danych osób adoptujących zwierzęta prowadzonego przez Fundację.
3. Nieopracowaniu i niewdrożeniu dokumentu stanowiącego politykę bezpieczeństwa (art. 36 ust. 2 ustawy w związku z § 3 i § 4 rozporządzenia).
4. Niezgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczącego osób adoptujących zwierzęta (art. 40 ustawy).
W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie, w celu wyjaśnienia okoliczności sprawy. Pismem zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie (znak: DIS-K-421/74/10/3062), administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań. Pomimo to, Fundacja nie złożyła wyjaśnień oraz nie przedstawiła dowodów potwierdzających usunięcie wskazanych uchybień.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 24 ust. 1 pkt 3 i pkt 4 ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o prawie dostępu do treści swoich danych oraz ich poprawiania i dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
W toku czynności kontrolnych ustalono, iż osoby adoptujące zwierzęta nie są informowane przez Fundację o prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych.
Zgodnie z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Jak ustalono w toku kontroli, Fundacja przechowuje umowy adopcyjne, które zostały
zawarte z właścicielami zwierząt jeszcze przed utworzeniem Fundacji przez osobę, która obecnie jest Prezesem Fundacji. Natomiast jak ustalono w toku kontroli, po włączeniu danych osób, o których mowa powyżej do zbioru obecnie prowadzonego przez Fundację, nie został dopełniony obowiązek informacyjny wobec tych osób, w zakresie o którym mowa w art. 25 ust. 1 ustawy.
Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z ust. 2 dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. Natomiast, zgodnie z ust. 3 dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
W toku czynności kontrolnych ustalono, że do przetwarzania osobowych nie są używane systemy informatyczne, a dane osobowe przetwarzane są wyłącznie w sposób tradycyjny. Natomiast w Fundacji nie jest prowadzona dokumentacja opisująca sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, tj. nie została opracowana i wdrożona polityka bezpieczeństwa, o której mowa w § 4 rozporządzenia, dotycząca przetwarzania danych osobowych w sposób tradycyjny (dokumentacja papierowa). Zgodnie z art. 40 ustawy administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 tej ustawy. W myśl art. 7 pkt 1 ustawy o ochronie danych osobowych, przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Jak ustalono w toku kontroli Fundacja przetwarza dane osób adoptujących zwierzęta. Z osobami tymi zawierane są umowy adopcyjne. Umowy te zawierają dane osobowe w następującym zakresie: imię i nazwisko, seria i numer dowodu osobistego, adres zamieszkania, numer telefonu i adres e-mail. Przedmiotowe umowy przechowywane są w segregatorach. Umowy te ułożone są w porządku chronologicznym.
Wobec powyższego uznać należy, iż mimo ciążącego na Fundacji, jako administratorze danych, obowiązku określonego w art. 40 ustawy o ochronie danych osobowych oraz braku przesłanek wynikających z art. 43 ust. 1 tej ustawy, zwalniających z tegoż obowiązku, nie został przez Fundację zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiór danych dotyczący osób adoptujących zwierzęta.
W świetle dokonanych ustaleń, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.