GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH



Podobne dokumenty
OCHRONY DANYCH OSOBOWYCH Ewa Kulesza

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-594/15/62961

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

PRZETWARZANIE DANYCH OSOBOWYCH

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Umowa o powierzanie przetwarzania danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

D E C Y Z J A. (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych)

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

MINISTERSTWO INFRASTRUKTURY I ROZWOJU. UMOWA nr zawarta w Warszawie, w dniu

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

USTAWA. z dnia 22 stycznia 2004 r.

DECYZJA w sprawie czasowego zaprzestania działalności

Wrocław, dnia 14 grudnia 2015 r. Poz UCHWAŁA NR XVI/96/15 RADY MIEJSKIEJ W BOGUSZOWIE-GORCACH. z dnia 30 listopada 2015 r.

w sprawie ustalenia Regulaminu przeprowadzania kontroli przedsiębiorców

Instrukcja obiegu i przechowywania dokumentacji WZSzach

ROZPORZĄDZENIE MINISTRA POLITYKI SPOŁECZNEJ 1) z dnia 23 marca 2005 r. w sprawie nadzoru i kontroli w pomocy społecznej

ZARZĄDZENIE Nr 315/PM/2013 PREZYDENTA MIASTA LEGNICY. z dnia 15 marca 2013 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

Okręgowa Rada Pielęgniarek i Położnych Regionu Płockiego

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

Protokół kontroli problemowej podmiotu leczniczego z dnia 7 sierpnia 2013r.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

Regulamin reklamy produktów leczniczych na terenie Samodzielnego Publicznego Zakładu Opieki Zdrowotnej Ministerstwa Spraw Wewnętrznych w Białymstoku

BENEFICJENT 1.1 NAZWA I ADRES BENEFICJENTA

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Kancelaria Radcy Prawnego

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Protokół kontroli problemowej podmiotu leczniczego z dnia 6 lutego 2013r.

Miejski Ośrodek Pomocy Rodzinie w Koninie

Protokół kontroli problemowej podmiotu leczniczego z dnia 8 marca 2013r.

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Gminy Kampinos

UMOWA O PROWADZENIE PODATKOWEJ KSIĘGI PRZYCHODÓW I ROZCHODÓW

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

I. REKLAMA KIEROWANA DO LEKARZY

ZARZĄDZENIE NR 155/2014 BURMISTRZA WYSZKOWA z dnia 8 lipca 2014 r.

o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1 )

Zamawiający potwierdza, że zapis ten należy rozumieć jako przeprowadzenie audytu z usług Inżyniera.

Wystąpienie pokontrolne

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

WYSTĄPIENIE POKONTROLNE

P R O J E K T D r u k n r... UCHWAŁA NR / /2015 RADY GMINY CHYBIE. z dnia r.

oraz nowego średniego samochodu ratowniczo-gaśniczego ze sprzętem ratowniczogaśniczym

TOM II ISTOTNE DLA STRON POSTANOWIENIA UMOWY. Opis przedmiotu zamówienia opis techniczny + schematy przedmiar robót

Korekta do wniosku na wezwanie nr. Wycofanie wniosku Nazwa pełna grupy producentów rolnych 2.2. Nazwa skrócona Powiat. 3.5.

WYROBY BUDOWLANE POD KONTROLĄ "

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

PROTOKÓŁ KONTROLI PLANOWEJ

Zielona Góra, 27 lutego 2014 r. VII G 211/01/14. wszyscy Wykonawcy. WYJAŚNIENIA TREŚCI SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA, nr 3

DZENIE RADY MINISTRÓW

Prokuratura Rejonowa ul. Sportowa tf* Grójec

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

I. Postanowienia ogólne

(Akty, których publikacja nie jest obowiązkowa) KOMISJA

współadministrator danych osobowych, pytania i indywidualne konsultacje.

MZO.DBA A. DANE O KONTROLI A.1. Podstawa prawna kontroli: A.2. Zakres przeprowadzonej kontroli

Informacja o wyniku kontroli doraźnej w zakresie legalności wyboru trybu zamówienia z wolnej ręki

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Procedura uzyskiwania awansu zawodowego na stopień nauczyciela mianowanego przez nauczycieli szkół i placówek

Protokół kontroli okresowej JANTAR 2 Sp. z o.o. ul. Zygmunta Augusta 71, Słupsk REGON

POSTANOWIENIE z dnia 28 października 2009 r. Przewodniczący:

Warszawa, dnia 23 lipca 2013 r. Poz. 832

Lubuski Urząd Wojewódzki w Gorzowie Wielkopolskim ul. Jagiellończyka Gorzów Wlkp.

Warszawa, dnia 13 czerwca 2012 r. Poz. 652 ROZPORZĄDZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1) z dnia 1 czerwca 2012 r.

Ustawa o obywatelstwie polskim z dnia 15 lutego 1962 r. (Dz.U. Nr 10, poz. 49) tekst jednolity z dnia 3 kwietnia 2000 r. (Dz.U. Nr 28, poz.

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

PROTOKÓŁ KONTROLI WEWNĘTRZNEJ

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

OGÓLNE WARUNKI UMOWY

Protokół kontroli problemowej podmiotu leczniczego z dnia 22 czerwca 2012r.

Załącznik nr 1. Zakres prac:

ZARZĄDZENIE NR 4331/2010 PREZYDENTA MIASTA STOŁECZNEGO WARSZAWY z dnia 22 marca 2010 r.

ROZPORZĄDZENIE MINISTRA ZDROWIA 1)

Regulamin przyznawania, wydawania i korzystania z Karty Ustrzycka Karta Dużej Rodziny

Informacja o wyniku kontroli doraźnej. Określenie postępowania o udzielenie zamówienia publicznego, które było przedmiotem kontroli.

R O Z P O R ZĄDZENIE M I N I S T R A N A U K I I S Z K O L N I C T WA W YŻSZEGO 1) z dnia r.

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Regulamin korzystania z wypożyczalni online Liberetto. z dnia r., zwany dalej Regulaminem

UCHWAŁA Nr XLIX/488/2010 RADY MIEJSKIEJ W KÓRNIKU. z dnia 26 stycznia 2010 r.

Informacja o wynikach kontroli

Lubuski Urząd Wojewódzki w Gorzowie Wielkopolskim ul. Jagiellończyka Gorzów Wlkp.

woli rodziców w 2010 roku. 1. W roku szkolnym 2016/2017 obowiązek szkolny spełniają dzieci urodzone w 2009 roku oraz z

Procedura nadawania uprawnień do potwierdzania, przedłuŝania waŝności i uniewaŝniania profili zaufanych epuap. Załącznik nr 1

Pani Dorota Pielichowska-Borysiewicz Dyrektor Domu Dziecka w Kórniku-Bninie WYSTĄPIENIE POKONTROLNE. NAJWYśSZA IZBA KONTROLI

ZARZĄDZENIE NR 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30 czerwca 2006 r.

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 3 grudnia 2009 r. DIS/DEC 1207/44995/09 dot. DIS-K-421/130/09 D E C Y Z J A Na podstawie art. 104 1 i art. 105 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 36 ust. 1 i ust. 2, art. 37, art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), 4 i 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Regionalny Szpital Specjalistyczny im. ( ) w ( ), z siedzibą w ( ), I. Nakazuję Regionalnemu Szpitalowi Specjalistycznemu ( ), przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Zabezpieczenie dokumentacji zawierającej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazwą Księgowość Zarządzająca i pomieszczeniu opisanym nazwą Druki, przed jej udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, ul. Stawki 2 00-193 Warszawa tel. 860-70-81 fax 860-70-90 www.giodo.gov.pl

2. Opracowanie procedury określającej sposób zabezpieczenia pomieszczeń i sposób postępowania z kluczami do pomieszczeń oraz prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna 3. Uzupełnienie polityki bezpieczeństwa, prowadzonej w formie dokumentu o nazwie Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym ( ), o wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna; 4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upoważnień do przetwarzania danych osobowych od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym ( ), ewidencji osób upoważnionych do przetwarzania danych osobowych - od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umarzam. U z a s a d n i e n i e Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę (sygn. akt DIS-K-421/130/09) w Regionalnym Szpitalu Specjalistycznym ( ), zwanym dalej także Szpitalem, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od Dyrektora Szpitala oraz pracowników Szpitala ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli (sygn. akt DIS-K-421/130/09), który został podpisany przez Dyrektora Szpitala. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Regionalny Szpital Specjalistyczny ( ), jako administrator danych naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 2

1. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności niezabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną (art. 36 ust. 1 ustawy), gdyż jak ustalono w toku kontroli: w pomieszczeniu nr 8, opisanym nazwą Księgowość Zarządzająca, dokumentacja zawierająca dane osobowe pracowników przechowywana jest w segregatorach ułożonych na szafkach biurowych, w niezabezpieczonym (otwartym) pomieszczeniu opisanym nazwą Druki, w segregatorze opisanym - Pacjenci z UE 2004 2005 przechowywana jest dokumentacja zawierająca dane osobowe pacjentów. Ponadto, w toku kontroli ustalono, iż po zakończeniu dnia pracy klucze do pomieszczeń pozostawiane są w drzwiach, w celu umożliwienia dostępu do tych pomieszczeń osobom wykonującym prace porządkowe. W Szpitalu nie zostały opracowane procedury określające sposób zabezpieczenia pomieszczeń, jak również sposób postępowania z kluczami do pomieszczeń w których przetwarzane są dane osobowe. Ustalono również, iż w Szpitalu nie jest prowadzona ewidencja wydawanych i zdawanych kluczy do pomieszczeń. 2. Nieopracowaniu i niewdrożeniu do stosowania polityki bezpieczeństwa, o której mowa w 4 rozporządzenia. 3. Nieopracowaniu i niewdrożeniu do stosowania instrukcji zarządzania systemem informatycznym, zawierającej informacje o których mowa w 5 rozporządzenia. 4. Nienadaniu osobom zatrudnionym przy przetwarzaniu danych osobowych upoważnień do przetwarzania danych osobowych (art. 37 ustawy). 5. Nieprowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 ustawy). Pismem z dnia 22 października 2009 r. (sygn. DIS-K-421/130/09/38789), stanowiącym zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Szpital został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji o prawie do wypowiedzenia się co do zebranych dowodów i materiałów. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Szpitala, pismem z dnia 30 października 2009 r., (znak: SPZOZ-166/TAS/2009), przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody mające potwierdzić ich usunięcie. Ze złożonych wyjaśnień wynika, iż: 3

1. Dyrektor Szpitala wydał w dniu 20 października 2009 r. polecenie służbowe w sprawie zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych. 2. W trakcie opracowywania jest projekt procedury określającej sposób zabezpieczenia pomieszczeń, jak również określającej sposób postępowania z kluczami do pomieszczeń, w których przetwarzane są dane osobowe. 3. Dyrektor Szpitala Zarządzeniem Nr 52/2009 z dnia 18 września 2009 r. wdrożył do stosowania politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym. 4. Administrator bezpieczeństwa informacji złożył w dniu 29 października 2009 r. oświadczenie, z treści którego wynika, iż od dnia 10 sierpnia 2009 r. w Szpitalu prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. Ponadto, do ww. pisma załączono dokumenty mające potwierdzić usunięcie uchybień stwierdzonych w toku kontroli, tj. kserokopię Zarządzenia nr 44/2009 z dnia 10 sierpnia 2009 r. Dyrektora Szpitala w sprawie wykonania obowiązków wynikających z art. 37, art 38, i art 39 ustawy o ochronie danych osobowych, kserokopię Zarządzenia nr 52/2009 z dnia 18 września 2009 r. Dyrektora Szpitala w sprawie wdrożenia polityki bezpieczeństwa, wraz z kserokopią załączników, stanowiących dokumenty o nazwach: Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym im. Dr Wł. Biegańskiego w Grudziądzu i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznego( ), kserokopię polecenia służbowego Dyrektora Szpitala z dnia 20 października 2009 r., kserokopię oświadczenia administratora bezpieczeństwa informacji z dnia 29 października 2009 r. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z art. 36 ust. 1 ustawy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W toku kontroli ustalono, iż w pomieszczeniu nr 8 opisanym nazwą Księgowość Zarządzająca, dokumentacja w zapisie papierowym zawierająca dane osobowe przechowywana jest w segregatorach, ułożonych na szafkach biurowych. Ponadto, w toku kontroli stwierdzono, 4

iż w niezabezpieczonym (otwartym) pomieszczeniu opisanym nazwą Druki, przechowywany jest m. in. segregator opisany Pacjenci z UE 2004 2005, w którym przechowywane są dokumenty o nazwie zestawienia pacjentów Unii Europejskiej za 2005 r. Szpital w ( ). Zestawienia te zawierają imię i nazwisko pacjenta, nazwę oddziału szpitalnego, numer faktury i datę jej wystawienia, jak również kwotę należną za dane świadczenie medyczne. Do zestawień tych załączone są faktury wraz z kartą informacyjną leczenia szpitalnego. Karty informacyjne w swej treści zawierają: imię i nazwisko pacjenta, określenie rodzaju udzielonego świadczenia, przebieg choroby, zastosowane leczenie, jak również zalecenia lekarskie. Do pliku dokumentów, o których mowa powyżej, załączone są również kserokopie dokumentów sporządzonych w językach obcojęzycznych, potwierdzających ubezpieczenie danego pacjenta. Dodatkowo ustalono, iż w Szpitalu nie zostały opracowane procedury określające sposób zabezpieczenia pomieszczeń, jak również sposób postępowania z kluczami do pomieszczeń w których przetwarzane są dane osobowe. Ponadto, jak ustalono w Szpitalu nie jest prowadzona ewidencja wydawanych i zdawanych kluczy do pomieszczeń. Pracownicy po zakończeniu dnia pracy klucze do pomieszczeń pozostawiają w drzwiach w celu umożliwienia dostępu do tych pomieszczeń osobom wykonującym prace porządkowe. Osoby sprzątające po wykonaniu prac porządkowych zamykają pomieszczenia, a klucze do tych pomieszczeń, w zamkniętym worku przekazują do dyspozytorki pogotowia ratunkowego zlokalizowanego w ( ). Pismem z dnia 30 października 2009 r., (znak: SPZOZ-166/TAS/2009) stanowiącymi odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Szpitala poinformował, iż w dniu 20 października 2009 r. wydał polecenie służbowe w sprawie zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych. W piśmie tym poinformował również, iż w trakcie opracowywania jest projekt procedury określającej sposób zabezpieczenia pomieszczeń i regulującej sposób postępowania z kluczami do pomieszczeń, w których przetwarzane są dane osobowe. Dyrektor Szpitala nie przesłał jednak żadnych dowodów potwierdzających usunięcie przedmiotowych uchybień. Wobec powyższego należy podkreślić, iż sam zamiar podjęcia działań w celu usunięcia uchybień jest zdarzeniem przyszłym i niepewnym, a tym samym nie stanowi podstawy do uznania, że został przywrócony stan zgodny z prawem w zakresie, o którym mowa powyżej. Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w 1 pkt 1 składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją. Zgodnie z ust. 2, dokumentację, o której mowa 5

1 pkt 1 prowadzi się w formie pisemnej. Natomiast, zgodnie z ust. 3 dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych. Zgodnie z 4 pkt 1 rozporządzenia, polityka bezpieczeństwa, o której mowa w 3 ust. 1 rozporządzenia, zawiera wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Jak ustalono w toku kontroli w Szpitalu nie została opracowana i wdrożona polityka bezpieczeństwa. W piśmie z dnia 30 października 2009 r., (znak: SPZOZ-166/TAS/2009), Dyrektor Szpitala wyjaśnił, iż Zarządzeniem Nr 52/2009 z dnia 18 września 2009 r. wprowadził do stosowania dokument o nazwie Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym im. Dr Wł. Biegańskiego w Grudziądzu. Ponadto, do ww. pisma załączona została kserokopia ww. dokumentu. Przesłany dokument nie zawiera jednak informacji, o których mowaw 4 pkt 1 rozporządzenia, tj. nie zawiera wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Biorąc powyższe pod uwagę, Szpital jest zobowiązany do przywrócenia stanu zgodnego z prawem, w zakresie uzupełnienia polityki bezpieczeństwa prowadzonej w formie dokumentu o nazwie Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym ( ) o informacje, o których mowa powyżej. Zgodnie z art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W toku czynności kontrolnych ustalono, iż osoby dopuszczone do przetwarzania danych osobowych w Szpitalu nie posiadają upoważnień nadawanych przez administratora danych. Pismem z dnia 30 października 2009 r., (znak: SPZOZ-166/TAS/2009) stanowiącymi odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, Dyrektor Szpitala przesłał kserokopię Zarządzenia nr 44/2009 z dnia 10 sierpnia 2009 r. z treści którego wynika, iż Dyrektor Szpitala zobowiązuje administratora bezpieczeństwa informacji do przygotowania upoważnień administratora danych do przetwarzania danych osobowych. Z przesłanych wyjaśnień nie wynika jednak, czy Dyrektor Szpitala nadał upoważnienia do przetwarzania danych osobowych wszystkim osobom dopuszczonym do przetwarzania danych osobowych, jak również nie przesłano przykładowej kopii (wypełnionego) upoważnienia, która potwierdzałaby przywrócenie w tym zakresie stanu zgodnego z prawem. Zgodnie z art. 39 ustawy, administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 6

1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. W toku czynności kontrolnych ustalono, że w Szpitalu nie jest prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych. W piśmie z dnia 30 października 2009 r., (znak: SPZOZ-166/TAS/2009) Dyrektor Szpitala wyjaśnił, iż administrator bezpieczeństwa informacji złożył w dniu 29 października 2009 r. oświadczenie, z treści którego wynika, iż w Szpitalu prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. W świetle powyższych ustaleń nie można uznać, iż uchybienie, o którym mowa powyżej zostało usunięte, gdyż Szpital nie przedstawił dowodu w postaci kserokopii przykładowych stron prowadzonej ewidencji osób upoważnionych do przetwarzania danych osobowych. Jednocześnie na podstawie złożonych przez Szpital pisemnych wyjaśnień i przedstawionych dokumentów należy uznać, iż pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania zostały usunięte, tj.: opracowano i wdrożono dokument o nazwie Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym ( ), który zawiera informacje, o których mowa w 5 rozporządzenia, opracowano i wdrożono dokument o nazwie Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym ( ), który zawiera informacje, o których mowa w 4 pkt 2, pkt 3, pkt 4 i pkt 5 rozporządzenia. Z uwagi na to, iż w toku postępowania usunięte zostały ww. uchybienia, stanowiące przedmiot niniejszego postępowania, dlatego w tym zakresie należało postępowanie umorzyć. Stosownie do art. 105 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 1 k.p.a. jest bezprzedmiotowość postępowania z jakiejkolwiek przyczyny, czyli z każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz1029/97). 7

Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji. 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres