GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH



Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. dr Wojciech R. Wiewiórowski DIS/DEC-494/12/34109

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski D E C Y Z J A. Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

i 201) -iń- i 7 l! GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E CYZJA DIS/DEC dot. DIS-K-421/23/14

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

D E C Y Z J A. Uzasadnienie

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

znak: XXXXXXXXXXX Warszawa, dnia 8 listopada 2017 r.

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Polityki bezpieczeństwa danych osobowych w UMCS

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

PolGuard Consulting Sp.z o.o. 1

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

DECYZJA. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Ewa Kulesza -Ą ( Warszawa, 30 kwietnia 2004 r. GI- DEC-DIS-105/04/208

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

POLITYKA BEZPIECZEŃSTWA

PREZES URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW MAŁGORZATA KRASNODĘBSKA-TOMKIEL

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Umowa powierzenia przetwarzania danych osobowych Nr...

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Ewidencja Gruntów i Budynków. Niektóre zagadnienia z ewidencji gruntów - Dlaczego uchylane są decyzje? Renata Jabłońska Oddział Katastru MUW

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

WYROK. z dnia 28 stycznia 2013 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Dane osobowe w data center

Warszawa, dnia 24 września 2009 r. DOLiS/DEC 967/09 dot. DOLiS /09 D E C Y Z J A

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH /WZÓR/

Umowa powierzenia przetwarzania danych osobowych. zawarta w dniu.. w Drzewicy (dalej zwana także Umową Powierzenia ).

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

DECYZJA. Uzasadnienie

PREZES URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

REGULAMIN organizacji i przetwarzania danych osobowych.

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

Załącznik Nr 1 do Zarządzenia Nr 7 /2009 Wójta Gminy Parchowo z dnia r. INSTRUKCJA Ochrony Danych Osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

dr Wojciech R. Wiewiórowski Warszawa, dnia ^ października 2014 r. DECYZJA

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Generalny Inspektor Ochrony Danych Osobowych i Stowarzyszenie Marketingu Bezpośredniego, zwani dalej Stronami,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Umowa o powierzanie przetwarzania danych osobowych

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 7 kwietnia 2008 r. DIS/DEC 222/8731/08 dot. DIS-K-421/147/07 DIS-K- 421/149/07 D E C Y Z J A

Na podstawie art. 104 1 i art. 105 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 1 i art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) oraz 4 pkt 1 i pkt 4, 5, 7 ust. 1 pkt 1, pkt 2 i ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz część A pkt II ust. 1 i pkt III ppkt 1 załącznika do rozporządzenia, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Archiwum X. I. Nakazuję Archiwum X usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1. Zmodyfikowanie systemów informatycznych o nazwach: X" (słuŝącego do ewidencji uŝytkowników zasobu archiwalnego udostępnianego w pracowni naukowej, ewidencjonowania reprografii oraz ewidencjonowania osób odwiedzających pracownię naukową) i Y" (słuŝącego do rejestrowania pism przychodzących), uŝytkowanych w ArchiwumX, w taki sposób, aby systemy te zapewniały, dla kaŝdej osoby, której dane są przetwarzane w tych systemach odnotowanie daty pierwszego wprowadzenia danych do tych systemów oraz identyfikatorów uŝytkowników wprowadzających dane osobowe do ww. systemów ( 7 ust. 1 pkt 1 i pkt 2 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych Dz. U. Nr 100, poz. 1024), w terminie 6 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. 2. Zmodyfikowanie systemów informatycznych o nazwach: X" (słuŝącego do ewidencji uŝytkowników zasobu archiwalnego udostępnianego w pracowni naukowej, ewidencjonowania reprografii oraz ewidencjonowania osób odwiedzających pracownię naukową) i Y" (słuŝącego do rejestrowania pism przychodzących), uŝytkowanych w Archiwum X w taki sposób, aby systemy te zapewniały, dla kaŝdej osoby, której dane są przetwarzane w tych systemach sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje o dacie pierwszego wprowadzenia danych do systemów oraz identyfikatorze uŝytkownika wprowadzającego dane do systemów ( 7 ust. 3

rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych Dz. U. Nr 100, poz. 1024 ), w terminie 6 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umarzani. U z a s ad n i en i e Inspektorzy upowaŝnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w: Archiwum X (sygn. akt DIS-K-421/147/07oraz w oddziale tego Archiwum X (sygn. akt DIS-K-421/149/07), w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późń. zm.), 2

zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od pracowników ww. podmiotów ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokołach kontroli, które zostały podpisane odpowiednio przez Dyrektora Archiwum X jak równieŝ Kierownika oddziału Archiwum X. Na podstawie tak zgromadzonego materiału dowodowego ustalono, Ŝe w procesie przetwarzania danych osobowych, Archiwum X, jak równieŝ oddział Archiwum naruszyły przepisy o ochronie danych osobowych. Administratorem danych przetwarzanych przez ww. podmioty jest Archiwum X. Uchybienia polegały na: 1. Niezastosowaniu zgodnie z art. 36 ust. 1 ustawy odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagroŝeń oraz kategorii danych objętych ochroną, a w szczególności nie zabezpieczeniu danych przed ich udostępnieniem osobom nieupowaŝnionym, zabraniem przez osobę nieuprawnioną. W Archiwum X pomimo, iŝ zgodnie z zapisem 4 Regulaminu korzystania z materiałów archiwalnych w pracowni naukowej Archiwum X uŝytkownicy są zobowiązani do posługiwania się w pomieszczeniach archiwum kartą identyfikacyjną, karty te nie są stosowane. 2. Niezapewnieniu przez administratora danych zgodnie z art. 38 ustawy, kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone, gdyŝ systemy informatyczne o nazwach: X" (słuŝącego do ewidencji uŝytkowników zasobu archiwalnego udostępnianego w pracowni naukowej, ewidencjonowania reprografii oraz ewidencjonowania osób odwiedzających pracownię naukową) i Y" (słuŝącego do rejestrowania pism przychodzących) uŝytkowane w Archiwum X, nie odnotowują dla kaŝdej osoby, której dane osobowe są przetwarzane w tych systemach, daty pierwszego wprowadzenia danych do systemu oraz identyfikatora uŝytkownika wprowadzającego dane osobowe do systemu ( 7 ust. 1 pkt 1 i pkt 2 rozporządzenia). 3. Niezapewnieniu, aby systemy informatyczne o nazwach: X" i Y" uŝytkowane w Archiwum X, umoŝliwiały dla kaŝdej osoby, której dane osobowe są przetwarzane w tych systemach, sporządzanie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których 3

mowa w 7 ust. 1 pkt 1 i pkt 2 rozporządzenia, tj. datę pierwszego wprowadzenia danych do systemu, identyfikator uŝytkownika wprowadzającego dane osobowe do systemu ( 7 ust. 3 rozporządzenia). 4. Niezawarciu przez Archiwum X, zgodnie z treścią 4 pkt 1 i pkt 4 rozporządzenia, w polityce bezpieczeństwa informacji w zakresie wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe i opisu sposobu przepływu danych pomiędzy systemami informatycznymi o nazwach: SEZAM" (system ewidencji zasobu archiwalnego), Algorytm" (słuŝący do przetwarzania danych finansowo-księgowy eh), Eksplorator VideoTel" (słuŝący do dokonywania przelewów bankowych) i WF-Gang" (system słuŝący do przetwarzania danych kadro wo-płacowych). 5. Niezawarciu przez Archiwum X w instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych, zgodnie z 5 rozporządzenia, informacji dotyczących uŝytkowanych przez ten podmiot systemów informatycznych o nazwach: SEZAM", Algorytm", Eksplorator VideoTel"i WF-Gang". 6. Niezabezpieczeniu, zgodnie z częścią A, pkt II ust. 1 załącznika do rozporządzenia, dostępu do systemu informatycznego o nazwie SEZAM" (uŝytkowanego lokalnie, na komputerze znajdującym się w Archiwum X za pomocą mechanizmu uwierzytelnienia (logowania). 7. Niezabezpieczeniu, zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia, komputera, znajdującego się w pomieszczeniu nr 102 w budynku Archiwum X, na którym uŝytkowany jest system informatyczny o nazwie SEZAM" poprzez zainstalowanie oprogramowania antywirusowego. 8. Niezabezpieczeniu, zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia, w Archiwum X i w jego oddziale, stacji roboczych, na których znajdują się systemy informatyczne słuŝące do przetwarzania danych osobowych o nazwach: X" (słuŝącego do udostępnienia materiałów archiwalnych) oraz Y" (słuŝącego do rejestrowania pism przychodzących) poprzez zainstalowanie oprogramowania antywirusowego. W związku z powyŝszym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w stosunku do Archiwum X jako administratora danych (strony postępowania) w celu wyjaśnienia okoliczności sprawy. Pismem z dnia 5 lutego 2008 r. (sygn. DIS-K-421/147/07/2842/08, sygn. DIS-K- 421/149/07/2842/08), zawiadamiającym o wszczęciu postępowania administracyjnego 4

w przedmiotowej sprawie, administrator danych został poinformowany o prawie czynnego udziału w kaŝdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych Ŝądań. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Archiwum X pismami z dnia 13 lutego 2008 r. (sygn. 070-1/07) i z dnia 7 marca 2008 r. (sygn. 070-1/2008) przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz dowody mające potwierdzić ich usunięcie. Ze złoŝonych wyjaśnień wynika, iŝ: 1. Dyrektor Archiwum X Aneksem z dnia 22 listopada 2007 r. do Zarządzenia nr 2 Dyrektora Archiwum X z dnia 29 czerwca 2000 r. wprowadził zmiany w Regulaminie korzystania z materiałów archiwalnych w pracowni naukowej Archiwum X poprzez wykreślenie z ww. Regulaminu 4, który dotyczył konieczności posługiwania się w pomieszczeniach archiwum kartą identyfikacyjną. 2. W przypadku braku identyfikatora osoby wprowadzającej dane osobowe do systemu, jak równieŝ braku moŝliwości sporządzenia i wydrukowania raportu wyjaśniono, iŝ w zakresie systemu informatycznego o nazwie "X" Archiwum X nie posiada moŝliwości ingerowania w konstrukcje ww. systemu, gdyŝ jest to baza ogólnokrajowa przekazana do stosowania przez Naczelną Dyrekcję Archiwów. Natomiast, w przypadku systemu informatycznego o nazwie Y" wyjaśniono, iŝ trwają prace nad automatycznym generowaniem identyfikatora osoby wprowadzającej dane osobowe do systemu oraz stosownego raportu. Ponadto, wyjaśniono, iŝ do czasu wdroŝenia ww. rozwiązania dane do systemu wprowadza wyłącznie jedna, upowaŝniona osoba. 3. W zakresie braku w polityce bezpieczeństwa wykazu budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe wyjaśniono, iŝ z dniem 11 lutego 2008 r. wprowadzono Aneks do Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Archiwum X, w którym, w załączniku nr 9 określono wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe. Natomiast, w zakresie opisu przepływu danych pomiędzy systemami informatycznymi dodano do Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Archiwum X załącznik nr 5, o tytule Opis struktur i sposoby przepływu danych pomiędzy systemami", w którym opisano sposób przepływu danych pomiędzy systemami informatycznymi o nazwach: PŁATNIK", ProgMan - KADRY", ProgMan - PŁACE", Eksplorator Video Tel". Odnośnie informacji dotyczących uŝytkowanych przez Archiwum X systemów informatycznych wyjaśniono, iŝ do Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Archiwum X

dodano wykaz baz danych o nazwach: PŁATNIK", ProgMan - KADRY", ProgMan -PŁACE", Eksplorator Video Tel". Ponadto, wyjaśniono, iŝ w przypadku systemów informatycznych o nazwach: ALGORTYM", WF-GANG" z dniem 1 stycznia 2008 r. zaprzestano stosowania ww. systemów w Archiwum X. 4. Odnośnie zabezpieczenia (zgodnie z częścią A, pkt II ust. 1 załącznika do rozporządzenia) dostępu do systemu informatycznego o nazwie SEZAM" za pomocą mechanizmu uwierzytelnienia (logowania) jak równieŝ w zakresie zabezpieczenia (zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia) ww. systemu przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego wyjaśniono, iŝ system informatyczny 0 nazwie SEZAM" został usunięty z komputera znajdującego się w pomieszczeniu nr 102 w budynku Archiwum X. 5. W zakresie braku zabezpieczenia przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia) wyjaśniono, iŝ w oddziale Archiwum X na stacjach roboczych, na których znajdują się systemy informatyczne słuŝące do przetwarzania danych osobowych o nazwach X" oraz Y" zostało zainstalowane oprogramowanie antywirusowe. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zwaŝył co następuje: Zgodnie z art. 38 ustawy, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Natomiast zgodnie z 7 ust. 1 pkt 1 i pkt 2 rozporządzenia, dla kaŝdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów słuŝących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora uŝytkownika wprowadzającego dane osobowe do systemu, chyba, Ŝe dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba. Ponadto, zgodnie z 7 ust. 3 rozporządzenia, dla kaŝdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w 7 ust 1. rozporządzenia. W toku kontroli ustalono, iŝ w odniesieniu do systemów informatycznych o nazwach: X" (słuŝącego do ewidencji uŝytkowników zasobu archiwalnego udostępnianego w pracowni naukowej, ewidencjonowania reprografii oraz ewidencjonowania osób odwiedzających

6

pracownię naukową) i Y" (słuŝącego do rejestrowania pism przychodzących) uŝytkowanych w Archiwum X nie została zapewniona kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone. W toku czynności kontrolnych ustalono, Ŝe ww. systemy informatyczne nie zapewniają odnotowania daty pierwszego wprowadzenia danych do systemu oraz identyfikatora uŝytkownika wprowadzającego dane do tych systemów informatycznych, jak równieŝ nie zapewniają sporządzenia i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacje w zakresie identyfikatora uŝytkownika wprowadzającego dane do systemu informatycznego. Z wyjaśnień złoŝonych przez Dyrektora Archiwum X wynika, iŝ system informatyczny o nazwie X" został przekazany do uŝytkowania w Archiwum X przez Naczelną Dyrekcję Archiwów i w związku z tym Archiwum X nie ma moŝliwości ingerencji w jego konstrukcję. Odnosząc się do ww. wyjaśnień, stwierdzić naleŝy, iŝ Archiwum X jako administrator danych osobowych przetwarzanych w ww. systemie jest zobligowane do dopełnienia obowiązków określonych przepisami o ochronie danych osobowych, w tym równieŝ, o których mowa w 7 ust. 1 pkt 1, pkt 2 i 7 ust. 3 rozporządzenia. Natomiast, Dyrektor Archiwum X wyjaśnił, iŝ w przypadku systemu informatycznego o nazwie Y" trwają prace nad automatycznym generowaniem identyfikatora osoby wprowadzającej dane do tego systemu jak równieŝ moŝliwością generowania przez ten system stosownego raportu. Wobec powyŝszego uznać naleŝy, Ŝe uchybienia dotyczące systemów informatycznych o nazwie X" i Y" uŝytkowane w Archiwum, we wskazanym wyŝej zakresie nie zostały usunięte, a zatem wyznaczony został odpowiedni termin do przywrócenia w tym zakresie stanu zgodnego z prawem. Jednocześnie na podstawie złoŝonych przez Dyrektora Archiwum X pisemnych wyjaśnień i przedstawionych dowodów, naleŝy uznać, iŝ pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania zostały usunięte, tj.: 1. Zastosowano środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagroŝeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupowaŝnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust.l ustawy o ochronie danych osobowych), tj. wprowadzono zmiany 7

w treści Regulaminu korzystania z materiałów archiwalnych w pracowni naukowej Archiwum X i obecnie nie ma obowiązku posługiwania się w pomieszczeniach archiwum kartą identyfikacyjną. 2. Uzupełniono politykę bezpieczeństwa w zakresie: 1) wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - 4 pkt 1 rozporządzenia, 2) sposobu przepływu danych pomiędzy poszczególnymi systemami, w zakresie informacji dotyczących systemu informatycznego o nazwie: Eksplorator VideoTel" (słuŝący do dokonywania przelewów bankowych) - 4 pkt 4 rozporządzenia. 3. Uzupełniono instrukcję zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w zakresie: informacji dotyczących uŝytkowanego przez Archiwum X systemu informatycznego o nazwie Eksplorator VideoTel" (słuŝący do dokonywania przelewów bankowych) - 5 rozporządzenia. Natomiast, wyjaśniono, iŝ system informatyczny o nazwie SEZAM" (system ewidencji zasobu archiwalnego) został przez Archiwum X usunięty i nie są w nim przetwarzane dane osobowe. Ponadto, poinformowano, iŝ z dniem 1 stycznia 2008 r. zaprzestano stosowania w Archiwum X systemów informatycznych o nazwach: ALGORTYM" (słuŝący do przetwarzania danych finansowo-księgowych) i WF - GANG" (system słuŝący do przetwarzania danych kadrowo-płacowych). 4. Odnośnie zabezpieczenia dostępu do systemu informatycznego o nazwie SEZAM" za pomocą mechanizmu uwierzytelnienia (logowania) - (zgodnie z częścią A, pkt II ust. 1 załącznika do rozporządzenia) jak równieŝ zainstalowania oprogramowania antywirusowego (zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia) wyjaśniono, iŝ system ten został przez Archiwum X usunięty i nie są w nim przetwarzane dane osobowe. 5. Zabezpieczeniu (zgodnie z częścią A, pkt III ppkt 1 załącznika do rozporządzenia), w oddziale Archiwum X stacji roboczych, na których znajdują się systemy informatyczne słuŝące do przetwarzania danych osobowych o nazwach X" oraz Y" poprzez zainstalowanie programu antywirusowego. Stosownie do art. 105 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 1 k.p.a. jest bezprzedmiotowość postępowania z jakiejkolwiek przyczyny", czyli z kaŝdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Szl 029/97). 8

Wobec powyŝszego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji moŝe zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji. 9

10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres