GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki



Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

POLITYKA BEZPIECZEŃSTWA

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

znak: XXXXXXXXXXX Warszawa, dnia 8 listopada 2017 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

3. Rozporządzenie wchodzi w życie po upływie 6 tygodni od dnia ogłoszenia.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

Załącznik nr 8 do SIWZ

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

BIURO GIODO Departament Inspekcji

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

D E C Y Z J A. Uzasadnienie

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Bezpieczeństwo danych osobowych listopada 2011 r.

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Północno-Wschodni Klaster Edukacji Cyfrowej

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO POZNAŃ GRUNWALD I JEŻYCE W POZNANIU

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Umowa powierzenia przetwarzania danych osobowych Nr...

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

... zawarta w dniu... pomiędzy

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr.~ ~2015

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Umowa o powierzanie przetwarzania danych osobowych

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu.w Warszawie pomiędzy

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Administrator Bezpieczeństwa Informacji. Wytyczne dotyczące ochrony danych osobowych w regulaminach konkursowych

OCHRONA DANYCH OSOBOWYCH

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zwana dalej Umową, zawartą w dniu. r. w Tarnowie pomiędzy:

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Umowa nr..- /16. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:... z siedzibą przy...

ODPOWIEDŹ NA PYTANIE PRAWNE

POLITYKA BEZPIECZEŃSTWA

Przetwarzanie danych osobowych w przedsiębiorstwie

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Ustawa o ochronie danych osobowych oznacza Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski D E C Y Z J A. Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Umowa powierzenia przetwarzania danych osobowych

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Zarządzenie nr 101/2011

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

Bezpieczeństwo teleinformatyczne danych osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Ochrona danych osobowych przy obrocie wierzytelnościami

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

I. PODSTAWY PRAWNE II. CELE GROMADZENIA DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

II Lubelski Konwent Informatyków i Administracji r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

UMOWA NR. zawarta w dniu... pomiędzy,

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki DRZDO-DEC/346/09/15410 dot. DRZDO-401/000416/06 DECYZJA z dnia 29 kwietnia 2009 r. Na podstawie art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5, art. 44 ust. 1 pkt 2 w związku z art. 23 ust. 1, art. 44 ust. 2 w związku z art. 18 ust. 1 pkt 6 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 104 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), 3, 4 i 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych zgłoszonego przez Gminę, 1) odmawiam Gminie rejestracji zbioru danych osobowych o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych, 2) nakazuję Gminie: a) usunięcie ze zbioru danych o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych danych przetwarzanych bez podstawy prawnej, tj. dotyczących nazwisk i imion osób, których dane dotyczą, imion rodziców, miejsca urodzenia, adresu zamieszkania lub pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą, ul. Stawki 2 00-193 Warszawa tel. +48 22 860 70 98 fax. +48 22 860 70 86 www.giodo.gov.pl

b) ograniczenie przetwarzania w zbiorze o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych innych, niż wymienione w pkt 2a) danych osobowych, wyłącznie do ich przechowywania do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu, stosownie do art. 44 ust. 4 ustawy o ochronie danych osobowych. U z a s a d n i e n i e W dniu 31 stycznia 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło zgłoszenie do rejestracji zbioru danych osobowych o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych dokonane przez Gminę, zwaną dalej również Wnioskodawcą. Dokonane przez Wnioskodawcę zgłoszenie zbioru danych osobowych nie spełniało wymogów niezbędnych do zarejestrowania ww. zbioru danych. Zgłoszenie nie zawierało bowiem pełnego opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą. Ponadto Wnioskodawca oświadczył, iż w ramach przedmiotowego zbioru przetwarza dane w postaci nazwisk i imion osób, których dane dotyczą, imion rodziców, miejsca urodzenia, adresu zamieszkania lub pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą, co nie znajduje podstaw w przepisach ustawy z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. Nr 49, poz. 463 z późn. zm.), stanowiącej podstawę prawną prowadzenia zgłoszonego do rejestracji zbioru danych. Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje. Ustawa o ochronie danych osobowych w art. 40 wprowadziła dla administratora danych obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych do rejestracji, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy. Stosownie do treści art. 44 ust. 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli: 1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy, 2) przetwarzanie naruszałoby zasady określone w art. 23-30 ustawy, 2

3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy. Zgodnie z art. 41 ust. 1 pkt 5 ustawy, zgłoszenie zbioru danych osobowych do rejestracji powinno zawierać opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy. Jednocześnie art. 36-39 ustawy obligują administratora danych do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Na administratorze danych ciąży w szczególności obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki ich ochrony, wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że administrator danych sam wykonuje te czynności, wydania upoważnień osobom dopuszczonym do przetwarzania danych osobowych, a także prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Na ww. dokumentację, stosownie do treści 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), składa się polityka bezpieczeństwa ( 4 rozporządzenia) i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ( 5 rozporządzenia). Brak w zgłoszeniu ww. informacji stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych, określoną w art. 44 ust. 1 pkt 1 w związku z art. 41 ust. 1 pkt 5 ustawy. Jednocześnie przetwarzanie danych osobowych bez podstawy prawnej stanowi naruszenie art. 23 ust. 1 ustawy. Wnioskodawca w zgłoszeniu oświadczył bowiem, iż przetwarza m.in. dane dotyczące nazwisk i imion osób, których dane dotyczą, imion rodziców, miejsca urodzenia, adresu zamieszkania lub pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą wskazując jednocześnie, jako przesłankę gromadzenia tych danych przepisy ustawy o systemie informacji oświatowej. Z analizy aktów prawnych normujących kwestię prowadzenia baz danych oświatowych, tj. ww. ustawy o systemie informacji oświatowej oraz rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 16 grudnia 2004 r. w sprawie szczegółowego zakresu danych w bazach oświatowych, zakresu danych identyfikujących podmioty prowadzące bazy danych oświatowych, terminów przekazywania danych między bazami danych oświatowych oraz wzorów wydruków zestawień zbiorczych (Dz. U. Nr 277, poz. 2746), nie wynika jednak, aby administrator danych miał prawo do przetwarzania, w zgłoszonym do rejestracji zbiorze danych dotyczących nazwisk i imion osób, których dane dotyczą, imion rodziców, miejsca 3

urodzenia, adresu zamieszkania lub pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą. Przepis art. 3 ust. 4 pkt 1 ustawy o systemie informacji oświatowej, zawiera bowiem zamknięty katalog danych osobowych i nie przewiduje możliwości przetwarzania ww. danych. Wobec faktu przetwarzania danych w postaci imion i nazwisk osób, których te dane dotyczą, imion rodziców, miejsca urodzenia oraz adresu zamieszkania, pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą bez podstawy prawnej oraz braku informacji dotyczących opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, wyznaczenia administratora bezpieczeństwa informacji, Generalny Inspektor Ochrony Danych Osobowych był zobligowany do wydania decyzji odmawiającej rejestracji zbioru danych osobowych o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych. Odmawiając rejestracji zbioru danych, Generalny Inspektor Ochrony Danych Osobowych nakazał Wnioskodawcy usunięcie ze zbioru danych przetwarzanych bez podstawy prawnej, tj.: dotyczących nazwisk i imion osób, których dane dotyczą, imion rodziców, miejsca urodzenia, adresu zamieszkania lub pobytu, Numeru Identyfikacji Podatkowej oraz serii i numeru dowodu osobistego osób, których dane dotyczą, a ponadto ograniczenie przetwarzania wszystkich innych kategorii danych zawartych w tym zbiorze wyłącznie do ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu. Należy podkreślić, iż Wnioskodawca, stosownie do treści art. 44 ust. 4 ustawy, może ponownie zgłosić zbiór o nazwie SIO-Nauczyciele, wychowawcy i inni pracownicy pedagogiczni placówek oświatowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na obowiązującym wzorze zgłoszenia, po usunięciu wad, które były powodem odmowy rejestracji tego zbioru, tj.: 1) po usunięciu z tego zbioru danych przetwarzanych bez podstawy prawnej, 2) po uzupełnieniu ponownego zgłoszenia ww. zbioru o informacje dotyczące: - opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, stosownie do treści art. 36 ust. 2 w związku z 3,4 i 5 rozporządzenia, - wyznaczenia administratora bezpieczeństwa informacji, zgodnie z art. 36 ust. 3 ustawy. Informuję ponadto, że Generalnemu Inspektorowi Ochrony Danych Osobowych na każdym etapie prowadzonego postępowania, a także po jego zakończeniu, przysługuje prawo i obowiązek realizacji zadań, w które został wyposażony mocą przepisów ustawy o ochronie danych osobowych i ustawy - Kodeks postępowania administracyjnego, w tym kontrola wykonania nakazów nałożonych na administratorów danych w decyzji. 4

W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. Decyzja jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy oraz art. 127 3 Kpa, przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Generalnego Inspektora Ochrony Danych Osobowych w terminie 14 dni od daty otrzymania decyzji (adres: Generalny Inspektor Ochrony Danych Osobowych ulica Stawki 2, 00-193 Warszawa) 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres