D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie



Podobne dokumenty
D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

dr Wojciech R. Wiewiórowski Warszawa, dnia ^ października 2014 r. DECYZJA

Samorządowe Kolegium Odwoławcze w Kaliszu w składzie: Przewodniczący: Krzysztof Sobociński spr. Członkowie: Agata Wawrzyniak Tomasz Ziółkowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC- 103/12/7510

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

POSTANOWIENIE. Sygn. akt I NSW 1/19. Dnia 11 lutego 2019 r. Sąd Najwyższy w składzie:

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

Warszawa, dnia 6 listopada 2003 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

I OSK 249/09 - Wyrok NSA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Wyrażenie przez pracownika zgody na przetwarzanie jego danych osobowych a wykorzystanie danych biometrycznych do kontroli czasu pracy

8. Sprawy dotyczące ochrony danych osobowych.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

I FSK 1366/12 - Wyrok NSA

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 7 kwietnia 2004 r. GI-DEC-DS-87/04 DECYZJA

POSTANOWIENIE. SSN Bogusław Cudowski (przewodniczący) SSN Maciej Pacuda (sprawozdawca) SSN Krzysztof Staryk

WZÓR DECYZJI KOMISJI DO SPRAW OCENY PRACOWNIKÓW O UTRZYMANIU W MOCY ZASKARŻONEJ OCENY OKRESOWEJ PRACOWNIKA. ... imię i nazwisko pracownika

DECYZJA. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Warszawa, dnia 26 stycznia 2016 r. DIS/DEC-55/16/4756

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DECYZJA. Warszawa, dnia 29 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

D E C Y Z J A. po rozpatrzeniu wniosku Pani adres do korespondencji: o udostępnienie informacji publicznej,

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Data orzeczenia orzeczenie prawomocne Data wpływu Naczelny Sąd Administracyjny Andrzej Jurkiewicz /sprawozdawca/ Sędziowie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ. SSN Tomasz Demendecki (przewodniczący) SSN Janusz Niczyporuk SSN Krzysztof Wiak (sprawozdawca)

POSTANOWIENIE. SSN Halina Kiryło (przewodniczący) SSN Bogusław Cudowski (sprawozdawca) SSN Andrzej Wróbel

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Ochrona danych osobowych przy obrocie wierzytelnościami

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ. Ewa Grochowska-Jung Ewa Pisula-Dąbrowska (spr.)

Pani Ewa Marchel Dyrektor Powiatowego Urzędu Pracy w Siedlcach ul. Pułaskiego 19/ Siedlce

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

POSTANOWIENIE. SSN Henryk Pietrzkowski (przewodniczący) SSN Anna Kozłowska (sprawozdawca) SSA Monika Koba Protokolant Maryla Czajkowska

Wyrok z dnia 2 czerwca 1998 r. II UKN 92/98

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POSTANOWIENIE. Sygn. akt II UZ 10/15. Dnia 14 lipca 2015 r. Sąd Najwyższy w składzie:

POSTANOWIENIE. SSN Małgorzata Wrębiakowska-Marzec

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

POSTANOWIENIE. SSN Irena Gromska-Szuster (przewodniczący) SSN Krzysztof Pietrzykowski SSA Krzysztof Strzelczyk (sprawozdawca)

POSTANOWIENIE. postanowił: uchylić zaskarżone zarządzenie.

Bezpieczeństwo danych osobowych listopada 2011 r.

II SA/Wa 898/06 - Wyrok WSA w Warszawie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

POSTANOWIENIE. SSN Zbigniew Korzeniowski (przewodniczący) SSN Bogusław Cudowski (sprawozdawca) SSN Zbigniew Myszka

I SA/Gd 204/11 Gdańsk, 14 września 2011 WYROK

Wyrok z dnia 6 października 2000 r. II UKN 23/00

POSTANOWIENIE. z dnia 15 września 2015 r. Przewodniczący:

Monitoring wizyjny a ochrona danych osobowych

Decyzja Warszawa, dnia 30 stycznia 2004 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku.

Polityka ochrony prywatności Firmy ADAMS Sp. z o.o. Ostatnia data aktualizacji: 27 lutego 2018 r.

POSTANOWIENIE. SSN Zbigniew Myszka

1. Regulacje prawne dotyczące ochrony danych osobowych

RODO A DANE BIOMETRYCZNE

POSTANOWIENIE. Sygn. akt V CZ 56/16. Dnia 29 września 2016 r. Sąd Najwyższy w składzie:

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

WNIOSEK o udostępnienie informacji o środowisku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

POSTANOWIENIE. SSN Romualda Spyt

215/5/B/2008. POSTANOWIENIE z dnia 19 września 2008 r. Sygn. akt Ts 41/08

POSTANOWIENIE. SSN Zbigniew Myszka

WOJEWÓDZKI INSPEKTORAT WETERYNARII W ŁODZI ODPOWIEDŹ NA SKARGĘ

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

POSTANOWIENIE. SSN Piotr Prusinowski

21. Sprawy z zakresu geodezji i kartografii

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 21 stycznia 2011 r. DIS/DEC- 39/2767/11 dot. [ ] D E C Y Z J A Na podstawie art. 138 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 1, art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) oraz w związku z 4 pkt 2, pkt 3 i pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Specjalistycznego Szpitala, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 września 2010 r. sygn. DIS/DEC-1133/37986/10, utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie W dniu 23 września 2010 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję sygn. DIS/DEC-1133/37986/10, nakazującą Specjalistycznemu Szpitalowi, zwanemu dalej także Szpitalem, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1. Zaprzestanie zbierania danych osobowych obejmujących przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników Specjalistycznego Szpitala w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna. ul. Stawki 2 00-193 Warszawa tel. 860-70-81 fax 860-70-90 www.giodo.gov.pl

2. Uzupełnienie w polityce bezpieczeństwa wykazu systemów informatycznych służących do przetwarzania danych osobowych o system informatyczny o nazwie A (system informatyczny służący do przetwarzania danych biometrycznych pracowników Szpitala) w terminie 7 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. W pozostałym zakresie postępowanie zostało umorzone. W dniu [ ] października 2010 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął, złożony w terminie wniosek Specjalistycznego Szpitala, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 września 2010 r. sygn. DIS/DEC-1133/37986/10 i uchylenie tej decyzji w zakresie pkt I ppkt 1 oraz umorzenie postępowania w zakresie pkt I ppkt 2. We wniosku o ponowne rozpatrzenie sprawy Dyrektor Szpitala zarzucił, iż powyższa decyzja (sygn. DIS/DEC-1133/37986/10) została wydana z naruszeniem prawa poprzez nieuwzględnienie normy art. 2 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą, bowiem zbiór danych, w skład którego wchodzi odwzorowany odcisk palca, sporządzany jest doraźnie i wyłącznie z przyczyn technicznych co stanowi, iż w tym przypadku mają zastosowanie jedynie przepisy rozdziału 5 ustawy. W związku z tym, iż zostały spełnione przesłanki wyłączenia stosowania przepisów ustawy o ochronie danych osobowych (za wyjątkiem przepisów rozdziału 5 ustawy) decyzja pozbawiona jest podstaw materialno prawnych i jako taka powinna zostać uchylona. Ponadto Dyrektor Szpitala stwierdził, iż Generalny Inspektor Ochrony Danych Osobowych przekroczył kompetencje określone w art. 12 ustawy, iż powołany w zaskarżanej decyzji art. 26 ustawy w żadnym wypadku, także pośrednim, nie odwołuje się do art. 22 1 ustawy z dnia 26 czerwca 1976 r. Kodeks pracy (Dz. U. z 1998 r. nr 21, poz. 94 z późn. zm.) i w tym kontekście Generalny Inspektor Ochrony Danych Osobowych nie jest uprawniony do oceny czy strona postępowania będąca pracodawcą przestrzega, czy też nie przestrzega materialnych przepisów ustawy Kodeks pracy. Tym samym, zdaniem skarżącego, Generalny Inspektor Ochrony Danych Osobowych wkroczył w kompetencje Państwowej Inspekcji Pracy określone przepisami ustawy z dnia 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (Dz.U. Nr 89, poz 589 z późn. zm.) i nie był uprawniony do rozpatrzenia niniejszej sprawy w drodze decyzji administracyjnej. Dyrektor Szpitala podkreślił, iż art. 22 1 5 ustawy Kodeks pracy odsyła co prawda do przepisów o ochronie danych osobowych, ale wyłącznie w zakresie danych, o których mowa w art. 22 1 1-4 ustawy Kodeks pracy. Katalog danych ujętych w art. 22 1 1-4 ustawy Kodeks pracy nie obejmuje odwzorowania linii papilarnych palca, a tym samym brak jest odesłania do przepisów ustawy o ochronie danych osobowych, w odniesieniu do danych będących przedmiotem oceny, a wcześniej kontroli Generalnego Inspektora Ochrony Danych Osobowych.

W zakresie pkt I ppkt 2 rozstrzygnięcia zaskarżonej decyzji Dyrektor Szpitala wyjaśnił, że został opracowany aneks nr [ ] do Instrukcji określającej politykę bezpieczeństwa oraz zarządzenia systemem informatycznym służącym do przetwarzania danych osobowych, w którym zawarto informacje dotyczące systemu informatycznego o nazwie A. Do wyjaśnień został dołączony pozostały dowód, w postaci kopii ww. aneksu, mający potwierdzić przywrócenie stanu zgodnego z prawem, w zakresie pkt I ppkt 2 zaskarżonej decyzji. Generalny Inspektor Ochrony Danych Osobowych po ponownym rozpatrzeniu sprawy zważył co następuje: Argumenty podniesione we wniosku o ponowne rozpatrzenie sprawy nie zasługują na uwzględnienie. Zgodnie z art. 2 ust. 3 ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub związku z dydaktyką w wyższych szkołach, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych animizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy. W piśmiennictwie podnosi się, że art. 2 ust. 3 ustawy o ochronie danych osobowych może być rozumiany jako zawierający wyliczenie cech definicyjnych zbioru doraźnego, w sposób kumulatywny bądź też alternatywny. Według dominującego stanowiska art. 2 ust. 3 ustawy dotyczy zbiorów sporządzanych doraźnie, jeżeli jest to podyktowane względami technicznymi, albo szkoleniowymi, albo w związku z dydaktyką w szkołach wyższych, a dane osobowe są po ich wykorzystaniu niezwłocznie usuwane lub poddawane anonimizacji (R. Szałowski, Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r., Zielona Góra 2000, s. 20; J. Barta, R. Markiewicz, Ochrona danych..., s. 263). Przesłanka doraźności nie ma charakteru samodzielnego i wymaga uzupełnienia poprzez względy natury technicznej, szkoleniowej lub dydaktycznej. Generalnego Inspektora Ochrony Danych Osobowych stoi na stanowisku, iż przy ocenie doraźności należy odwołać się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych dla określonych precyzyjnie celów. W przypadku Szpitala sprecyzowanym i głównym celem, dla którego przetwarzane są dane osobowe pracowników w zakresie cyfrowo przetworzonego wzorca odcisku palca, jest ewidencja czasu pracy pracowników. Należy przy tym podkreślić, iż czynnik czasu, w ciągu którego są przetwarzane dane osobowe odgrywa istotna rolę, o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych osobowych w zbiorze. Jeżeli dane osobowe w postaci cyfrowego obrazu odcisku linii papilarnych palca tworzą wraz z innymi danymi określony zbiór danych i ich przetwarzanie służy realizacji głównego celu, trudno uznać ten zbiór za doraźny i nie zmienia tego okoliczność, że okres przetwarzania tych danych jest relatywnie krótki.

Na karcie mikroprocesorowej służącej do rejestracji czasu pracy oprócz zapisanego cyfrowego wzorca odcisku palca, znajdują się inne informacje dotyczące posiadacza karty mikroprocesorowej, w tym m.in. numer identyfikujący daną osobę w systemie ewidencyjnym pracodawcy. To, że ww. dane zapisane są na tej samej karcie mikroprocesorowej powoduje, iż stanowi ona jednocześnie element wiążący ze sobą te dane. Karty te stanowią niezbędny element systemu informatycznego służącego do ewidencji czasu pracy, w którym zapisane są szczegółowe dane identyfikujące osobę o danym numerze identyfikacyjnym. Wobec powyższego należy stwierdzić, iż możliwe jest poprzez system informatyczny służący ewidencji czasu pracy w sposób jednoznaczny przyporządkować cyfrowy wzorzec odcisku palca do konkretnej osoby. Istotnym elementem systemu informatycznego służącego do ewidencji czasu pracy są czytniki, które służą do odczytu linii papilarnych osób wchodzących/wychodzących z pracy i po przetworzeniu ich do określonej postaci cyfrowej porównują ze wzorcem, który zapisany jest na karcie mikroprocesorowej. Czytniki te, mimo tego, że nie zapamiętują w żadnej bazie cyfrowego wzorca linii papilarnych, to po pozytywnej weryfikacji ze wzorcem umieszczonym na karcie w bazie danych systemu informatycznego służącego do ewidencji czasu pracy zapisywany jest fakt, że w określonym czasie nastąpiła czynność wejścia/wyjścia z pracy osoby oznaczonej określonym identyfikatorem zapisanym na karcie. Zatem, z uwagi na to, że głównym celem gromadzenia przez Szpital danych biometrycznych w postaci cyfrowego obrazu odcisku linii papilarnych palca jest ewidencja czasu pracy a także to, iż zbiór nie jest tworzony jedynie ze względów technicznych, nie można uznać tego zbioru jako sporządzanego doraźnie, a tym samym nie występuje przesłanka wyłączenia, o której mowa w art. 2 ust. 3 ustawy o ochronie danych osobowych. Zgodnie z art. 12 pkt 1 ustawy podstawowym zadaniem Generalnego Inspektora Ochrony Danych Osobowych jest prowadzenie kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Podkreślić należy, że chodzi tu nie tylko o sprawdzenie zgodności działań z przepisami ustawy o ochronie danych osobowych, ale także z przepisami innych aktów prawnych, które dotyczą ochrony danych osobowych. Art. 12 pkt 2 ustawy przyznał Generalnemu Inspektorowi Ochrony Danych Osobowych kompetencje do wydawania decyzji administracyjnych, w sprawach wykonania przepisów o ochronie danych osobowych i innych aktów prawnych dotyczących ochrony danych osobowych. Przepisy ustawy o ochronie danych osobowych mają zatem zastosowanie do pracodawców zgodnie z zasadą wyrażoną w art. 22¹ 5 ustawy Kodeks pracy, a także na ogólnych zasadach wynikających z określenia w tej ustawie zakresu podmiotowego zastosowania jej przepisów.

Szpital pozyskując od pracowników przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych ich palców naruszył przepisy ustawy o ochronie danych osobowych poprzez przetwarzanie ww. danych pracowników niezgodnie z przepisami prawa, tj. art. 22¹ ustawy Kodeks pracy. Jak podkreśla się w literaturze przedmiotu Nadanie ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych generalnego charakteru w zakresie materii wskazanej w jej tytule sprawia, iż regulacja ta jest uzupełniana licznymi przepisami szczegółowymi rozsianymi w wielu aktach prawnych dotyczących poszczególnych dziedzin życia społecznego (Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz, Ochrona danych osobowych. Komentarz, Lex a Wolters Kulwer business 2007, s. 124). Do takich aktów prawnych niewątpliwie należy ustawa Kodeks pracy. Ustawodawca wskazał bowiem wyraźnie w art. 22¹ 1, 2 i 4 ustawy Kodeks pracy jakich danych osobowych pracodawca ma prawo żądać od pracownika. Brzmienie art. 22¹ 1, 2 i 4 ustawy Kodeks pracy jednoznacznie wskazuje na możliwość przetwarzania wyłącznie tych danych osobowych, których zbierania dopuszczają powołane przepisy. Użyte w nich słowo żądać odnosi się do czynności pozyskania danych osobowych, a co za tym idzie do dalszego ich przetwarzania. Oznacza to, iż w zakresie innych danych pracowniczych, niż wymienionych w 22¹ 1, 2 i 4 ustawy Kodeks pracy, zastosowanie mają przepisy ustawy o ochronie danych osobowych. W myśl art. 6 ust. 1 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Biorąc za podstawę powyżej zacytowaną definicję danych osobowych, należy uznać, że pozyskane przez Szpital dane pracowników obejmujące informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego (wzorca biometrycznego), stanowią dane osobowe w rozumieniu powołanego przepisu. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na karcie mikroprocesorowej z palcem pracownika przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem ID pracownika) możliwa jest bowiem identyfikacja tej osoby. Należy także zwrócić uwagę na fakt, iż pracodawca w swoich działaniach jest związany zasadą adekwatności określoną w art. 26 ust. 1 pkt 3 ustawy. Zasada proporcjonalności wyraża się bowiem w obowiązku przetwarzania prawidłowych danych przez administratorów w sposób odpowiedni do celów dla jakich zostały zgromadzone (wyrok Wojewódzkiego Sądu Administracyjnego z dnia 18 czerwca 2010 r., syg. akt IISA/Wa 151/10).

Wobec powyższego, iż Szpital przetwarza inne dane pracownicze, niż określone w art. 22¹ 1, 2 i 4 ustawy Kodeks pracy zastosowanie mają w myśl art. 22¹ 5 ustawy Kodeksu pracy przepisy ustawy o ochronie danych osobowych, a tym samym Generalny Inspektor Ochronny Danych Osobowych posiadał delegację ustawową do rozstrzygnięcia sprawy w drodze decyzji administracyjnej. Odnosząc się do wniosku o umorzenie postępowania w zakresie pkt I ppkt 2 zaskarżonej decyzji, po ponownym rozpoznaniu sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 września 2010 r., nr DIS-DEC-1133/37986/10 należy wskazać, że ww. decyzja została wydana na podstawie prawidłowo zgromadzonego materiału dowodowego i po rozpatrzeniu wszystkich żądań strony zgłoszonych w toku przedmiotowego postępowania. Uznać zatem należy, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe zarówno z punktu widzenia zgodności z prawem, jak i pod względem celowości. Zgodnie z wyrokiem NSA z dnia 28 maja 1989 r., IV SA 1278/88 Kompetencje organu odwoławczego obejmują zarówno korygowanie wad prawnych decyzji organu I instancji, polegających na niewłaściwie zastosowanym przepisie prawa materialnego, jak i wad polegających na niewłaściwej ocenie okoliczności faktycznych. Z uwagi na to, że zaskarżona decyzja została wydana na podstawie właściwie zastosowanych przepisów prawa oraz na podstawie prawidłowo ustalonego stanu faktycznego należało utrzymać ją w mocy. Natomiast na podstawie przedstawionych przez Dyrektora Szpitala dowodów przedstawionych we wniosku o ponowne rozpatrzenie sprawy z dnia [ ] października 2010 r. należy uznać, iż Szpital wykonał pozostały nakaz decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 września 2010 r., nr DIS-DEC-1133/37986/10, poprzez uzupełnienie polityki bezpieczeństwa o wykaz programów zastosowanych do przetwarzania danych osobowych. Dlatego też, oceniając ponownie całokształt materiału dowodowego zebranego w przedmiotowej sprawie Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych w związku z art. 53 1 i art. 54 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00-193 Warszawa).

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres