GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. dr Wojciech R. Wiewiórowski DIS/DEC-494/12/34109

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

i 201) -iń- i 7 l! GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E CYZJA DIS/DEC dot. DIS-K-421/23/14

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

WYROK NACZELNEGO SĄDU ADMINISTRACYJNEGO W WARSZAWIE. z dnia 19 listopada 2001 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

DECYZJA. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Ewa Kulesza -Ą ( Warszawa, 30 kwietnia 2004 r. GI- DEC-DIS-105/04/208

LICENCJA. nr WPR/012/2003. na wykonywanie przewozów kolejowych rzeczy

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

dr Wojciech R. Wiewiórowski Warszawa, dnia ^ października 2014 r. DECYZJA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski D E C Y Z J A. Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych. zawarta w dniu.. w Drzewicy (dalej zwana także Umową Powierzenia ).

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

D E C Y Z J A. U z a s a d n i e n i e

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Umowa powierzenia przetwarzania danych osobowych do umowy nr (wzór)

Umowa powierzenia przetwarzania danych osobowych. zwana dalej Umową, zawarta w Warszawie w dniu.., pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zwana dalej Umową, zawartą w dniu. r. w Tarnowie pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

Decyzja Warszawa, dnia 30 stycznia 2004 r.

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH zawarta w dniu.. w Warszawie, pomiędzy:

UMOWA. Powierzenia przetwarzania danych osobowych

Dot.: Członkostwa w Ogólnopolskim Stowarzyszeniu Konsultantów Zamówień Publicznych

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

REGULAMIN ZASAD WSPÓŁPRACY PARTNERSKIEJ ZE SPÓŁKAMI Z GRUPY SALESBEE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych

UMOWA RAMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH TARNOWSKIE GÓRY. Nazwa firmy. imię. nazwisko NIP REGON. Kod pocztowy. miejscowość.

REGULAMIN KONKURSU NA UDZIELANIE ŚWIADCZEŃ ZDROWOTNYCH

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (*dane podmiotu który umowę zawiera) (*dane podmiotu który umowę zawiera)

W Projekcie umowy stanowiącym załącznik nr 3 do SIWZ, 8 ust. 1 przyjmuje brzmienie:

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy:

Umowa podpowierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Wzór umowy powierzenia danych osobowych nr

Umowa powierzenia danych osobowych. zawarta dnia. roku pomiędzy: reprezentowaną przez Burmistrza Gminy Stęszew Włodzimierza Pinczaka.

Umowa powierzenia przetwarzania danych osobowych,

Uchwała wchodzi w życie z dniem uchwalenia.

UMOWA O POWIERZENIE I PRZETWARZANIE DANYCH OSOBOWYCH

U mowa powierzenia przetwarzania danych osobowych

(*dane podmiotu który umowę zawiera)

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Śląski Wojewódzki Inspektor Farmaceutyczny w Katowicach Katowice, ul Raciborska 15 Katowice, 31 marca 2015r.

Regulamin świadczenia usługi rozpatrywania roszczeń z tytułu Umowy ubezpieczenia drogą elektroniczną w ramach portalu WWW

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (zwana dalej Umową )

Umowa powierzenia danych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych Nr.. zawarta dnia 2019 pomiędzy: Powiatem Kędzierzyńsko-Kozielskim NIP , REGON

Umowa powierzenia przetwarzania danych osobowych uczestników projektu nr./a/2012

1. POSTANOWIENIA OGÓLNE

SO-III Łódź, dnia 28 października 2014 r. Wystąpienie pokontrolne

PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 1 do SIWZ

D E C Y Z J A. po rozpatrzeniu wniosku innogy Stoen Operator Sp. z o.o., z siedzibą w Warszawie, ul. Piękna 46,

UMOWA O WSPÓŁPRACY W ZAKRESIE LICENCJI I USŁUG DOSTĘPOWO-SERWISOWYCH

Umowa o powierzenie przetwarzania danych osobowych. zwana dalej Umową. zawarta w dniu 2018 roku w..., pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

D E C Y Z J A. po rozpatrzeniu wniosku Energa - Operator Spółka Akcyjna, z siedzibą w Gdańsku, ul. Marynarki Polskiej 130,

KRS: NIP: Regon:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Umowa powierzenia przetwarzania danych osobowych

UMOWA o przetwarzaniu danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Umowa powierzenia przetwarzania danych osobowych

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Ogólne Warunki Umowy. Umowa sprzedaży nr. zawarta w dniu roku w Warszawie, pomiędzy:

DECYZJA. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

DECYZJA nr 15/2011. z dnia 17 lutego 2011 r. Dyrektora Pomorskiego Oddziału Wojewódzkiego Narodowego Funduszu Zdrowia

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 23 lipca 2010 r. DIS/DEC- 959/29604/10 dot. DIS-K-421/56/10 D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 31 ust. 1 i art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez XY S.A. z siedzibą w G., za pomocą systemu informatycznego o nazwie idziennik.edu.pl, powierzonego XY S.A. przez placówki oświatowe, I. Nakazuję XY S.A. z siedzibą w G. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1. Przetwarzanie danych osobowych za pomocą systemu informatycznego o nazwie DE (umożliwiającego prowadzenie dzienników elektronicznych), które zostało powierzone XY S.A. przez placówki oświatowe, zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), tj. na podstawie zawartych na piśmie umów powierzenia przetwarzania ww. danych, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna. ul. Stawki 2 00-193 Warszawa 1 tel. 860-70-81 fax 860-70-90 www.giodo.gov.pl

2. Zapewnienie, aby system informatyczny o nazwie XX umożliwiał sporządzenie i wydrukowanie raportu zawierającego informacje o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane, odbiorcach danych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. U z a s a d n i e n i e Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili w XY S.A. z siedzibą w G., zwanej dalej Spółką, kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (..), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Spółki. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako podmiot, któremu powierzono zgodnie z art. 31 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych, naruszyła przepisy o ochronie danych osobowych, polegające na: 1. Niezawarciu w formie pisemnej umowy, o której mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych, powierzenia przetwarzania danych osobowych z placówkami oświatowymi, które przetwarzają dane osobowe za pomocą systemu informatycznego o nazwie idziennik.edu.pl. 2. Niezapewnieniu przez system informatyczny o nazwie XX sporządzenia i wydrukowania raportu zawierającego informacje o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane oraz odbiorcach danych. W związku z powyższym, w dniu 16 czerwca 2010 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. W piśmie z dnia 16 czerwca 2010 r., sygn. ( ), stanowiącym zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Spółka została poinformowana o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji 2

wypowiedzenia się, co do zebranych w toku kontroli dowodów i materiałów oraz zgłoszonych żądań. W piśmie z dnia 25 czerwca 2010 r. Prezes Zarządu wskazał, iż zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, jednakże ustawa o ochronie danych osobowych nie nadała tej formie rygoru nieważności. Zgodnie z art. 71 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), jeżeli ustawa zastrzega dla czynności prawnej formę pisemną, czynność dokonana bez zachowania zastrzeżonej formy jest nieważna tylko wtedy, gdy ustawa przewiduje rygor nieważności. W niniejszej sytuacji takiego rygoru nie ma. Uznać więc należy umowę jako ważnie zawartą. Odnośnie niewskazania w treści umowy hostingowej, że na jej podstawie następuje powierzenie przetwarzania danych osobowych w celu wykonania tych umów hostingowych, wyjaśniono, iż umowa ta jest wykonywana i żadna ze stron nie zgłaszała nigdy wątpliwości co do interpretacji jej treści. Ponadto Prezes Zarządu Spółki wskazał, iż system informatyczny o nazwie XX jest użytkowany od marca do lipca br. W trakcie korzystania z programu przez użytkowników nie ma technicznej możliwości dokonywania zmian w oprogramowaniu ponieważ istnieje zbyt duże ryzyko zawieszenia systemu lub innych interferencji, co pociągałoby za sobą dotkliwe konsekwencje finansowe dla Spółki. Moduł zapewniający sporządzenie i wydrukowanie raportu zostanie włączony do aplikacji po przeprowadzeniu naboru, to jest do dnia 30 września 2010 r. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z art. 31 ust. 1 ustawy administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. W toku kontroli ustalono, iż Spółka oferuje placówkom oświatowym system informatyczny o nazwie idziennik.edu.pl, który umożliwia prowadzenie dzienników, o których mowa w rozporządzeniu Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.), w formie elektronicznej, zgodnie z 20a tego rozporządzenia, a tym samym przetwarzanie w tym systemie danych osobowych uczniów, ich przedstawicieli ustawowych oraz nauczycieli. W październiku 2009 r. Spółka przeprowadziła wspólnie z wydawnictwem YY Polska Sp. z o.o. akcję promocyjną oferującą system informatyczny o nazwie idziennik.edu.pl. Z powyższej akcji promocyjnej skorzystało 88 placówek oświatowych. Zgodnie z treścią <<Regulaminu 3

korzystania przez placówki oświatowe z pakietu on-line Dziennik XX - w ramach prowadzonej przez XY S.A. z siedzibą w G. akcji marketingowej z dnia 1 października 2009 r.>> po otrzymaniu od placówki oświatowej zgłoszenia uczestnictwa w ww. akcji Spółka przesyła do placówki oświatowej kod dostępu do ww. systemu. Z chwilą otrzymania kodu dostępu pomiędzy Spółką a placówką oświatową zostaje zawarta umowa udzielenia licencji na korzystanie z systemu informatycznego, o którym mowa powyżej. Jak wynika z treści Regulaminu, powyższa umowa nie ma formy pisemnej. Zgodnie z treścią pkt 8 Działu V Regulaminu placówka oświatowa powierza Spółce przetwarzanie danych osobowych w celu wykonania umowy. Z uwagi na to, że art. 31 ust. 1 ustawy stanowi, iż powierzenie przetwarzania danych następuje w drodze mowy zawartej na piśmie, uznać należy, iż tym samym został naruszony ww. art. 31 ust. 1 ustawy o ochronie danych osobowych. Jednocześnie art. 31 ust. 2 ustawy zobowiązuje podmiot, o którym mowa w ust. 1, aby przetwarzał dane wyłącznie w zakresie i celu przewidzianym w umowie. Tak więc określenie celu i zakresu w przetwarzania danych osobowych w <<Regulaminie korzystania przez placówki oświatowe z pakietu on-line Dziennik XX ramach prowadzonej przez XY S.A. z siedzibą w G. akcji marketingowej z dnia 1 października 2009 r.>> nie spełnia również wyżej wskazanego wymogu. Dlatego też Generalny Inspektor Ochrony Danych Osobowych uznał, iż Spółka powinna przetwarzać dane osobowe, o których mowa powyżej, na podstawie zawartych na piśmie umów powierzenia przetwarzania tych danych. Ponadto 12 placówek oświatowych przetwarza dane osobowe za pomocą systemu informatycznego o nazwie DE na podstawie umowy hostingowej zawartej ze Spółką. Umowy hostingowe, o których mowa powyżej, nie zawierają postanowień, z których wynikałoby, iż na podstawie tych umów powierzono przetwarzanie danych osobowych w celu wykonania tych umów. Spółka nie przedstawiła również w toku kontroli odrębnych umów powierzenia przetwarzania danych osobowych w celu wykonania tych umów hostingowych. Wobec powyższego należy uznać, iż Spółka przetwarza dane osobowe, o których mowa powyżej, naruszając art. 31 ustawy. Zgodnie z art. 38 ustawy, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W myśl 7 ust. 3 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust.1 rozporządzenia. W toku czynności kontrolnych ustalono, że system informatyczny o nazwie Nabór Elektroniczny nie umożliwia sporządzenia i wydrukowania raportu zawierającego dane osobowe 4

wraz z informacjami o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane, odbiorcach danych ( 7 ust. 1 pkt 1, pkt 2 i pkt 4 rozporządzenia). Mając powyższe na uwadze, w tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art.129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia niniejszej decyzji. 5

6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres