GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. dr Wojciech R. Wiewiórowski DIS/DEC-494/12/34109

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski D E C Y Z J A. Warszawa, dnia 6 marca 2012 r. DIS/DEC-174/12/14274

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

i 201) -iń- i 7 l! GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E CYZJA DIS/DEC dot. DIS-K-421/23/14

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

DECYZJA. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Ewa Kulesza -Ą ( Warszawa, 30 kwietnia 2004 r. GI- DEC-DIS-105/04/208

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

POLITYKA BEZPIECZEŃSTWA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Zarządzenie nr 101/2011

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

POLITYKA PRYWATNOŚCI BLOG O MLM

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Dane osobowe w data center

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

DECYZJA. Uzasadnienie

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Bezpieczeństwo danych osobowych listopada 2011 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

znak: XXXXXXXXXXX Warszawa, dnia 8 listopada 2017 r.

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Decyzja Warszawa, dnia 30 stycznia 2004 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

BIURO GIODO Departament Inspekcji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Ochrona danych osobowych przy obrocie wierzytelnościami

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

D E C Y Z J A. Uzasadnienie

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Warszawa, dnia 6 listopada 2003 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

REGULAMIN ZASAD WSPÓŁPRACY PARTNERSKIEJ ZE SPÓŁKAMI Z GRUPY SALESBEE

SO-III Łódź, dnia 14 kwietnia 2014 r. Wystąpienie pokontrolne

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

REGULAMIN PRZYJMOWANIA I ROZPATRYWANIA SKARG I WNIOSKÓW W SAMODZIELNYM PUBLICZNYM ZAKŁADZIE OPIEKI ZDROWOTNEJ W LISZKACH

Warszawa, dnia 24 września 2009 r. DOLiS/DEC 967/09 dot. DOLiS /09 D E C Y Z J A

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 6 stycznia 2009 r. DIS/DEC 5/175/09 dot. DIS-K-421/129/08 D E C Y Z J A Na podstawie art. 104 1 i art. 105 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 25 ust. 1, art. 36 ust. 1, art. 38, oraz art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), oraz częścią A pkt III ppkt 2 załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) i częścią C pkt XIII załącznika do ww. rozporządzenia, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez W przedstawicielstwo w Rzeczypospolitej Polskiej wyznaczone przez Y z siedzibą w Szwajcarii, I. Nakazuję W przedstawicielstwu w Rzeczypospolitej Polskiej wyznaczonemu przez Y przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Dopełnianie obowiązku informacyjnego, w zakresie o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych w stosunku do osób, którym W proponuje przeprowadzenie ul. Stawki 2 00-193 Warszawa tel. 860-70-81 fax 860-70-90 www.giodo.gov.pl

wywiadu w celu utworzenia biogramu tych osób - w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 2. Zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych dotyczącego osób zainteresowanych publikacją ich życiorysów w encyklopedii Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków - w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umarzam. U z a s a d n i e n i e Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w W - przedstawicielstwie w Rzeczypospolitej Polskiej wyznaczonym przez Y w Szwajcarii, zwanej dalej także Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od Prezesa Zarządu Spółki oraz pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli (sygn. akt DIS-K-421/129/08), który został podpisany przez Prezesa Zarządu Spółki. Na podstawie zgromadzonego materiału dowodowego ustalono, iż Y z siedzibą w Szwajcarii umową z dnia 25 marca 2008 r. wyznaczyło W w Poznaniu jako swojego przedstawiciela w Rzeczypospolitej Polskiej, w rozumieniu art. 31a ustawy o ochronie danych osobowych. Ustalenia dokonane w toku kontroli wskazały, iż w procesie przetwarzania danych osobowych Spółka jako przedstawicielstwo w Rzeczypospolitej Polskiej wyznaczone Y z siedzibą w Szwajcarii, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1. Niedopełnieniu obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych w stosunku do osób, którym Spółka, proponuje przeprowadzenie wywiadu w celu utworzenia biogramu tych osób. 2

2. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności niezabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, gdyż w pomieszczeniu oznaczonym nr 7 w niezamykanych szafach i szufladach przechowywane są dokumenty zawierające dane osobowe. Ponadto, w Spółce nie zostały opracowane i wdrożone pisemne procedury, które regulowały by sposób postępowania z kluczami od pomieszczeń Spółki (art. 36 ust. 1 ustawy o ochronie danych osobowych). 3. Niezabezpieczeniu systemu informatycznego o nazwie: Program Telemarketingowy (system informatyczny służący do przetwarzania danych osób, zainteresowanych publikacją ich danych w Encyklopedii), przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej (część A pkt III ppkt 2 załącznika do rozporządzenia). 4. Niezastosowaniu, w przypadku plików zawierających dane osobowe przesyłanych pocztą elektroniczną, środków kryptograficznej ochrony (część C pkt XIII załącznika do rozporządzenia). 5. Niezapewnieniu przez administratora danych zgodnie z art. 38 ustawy, kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone. Jak ustalono w toku kontroli fakt przekazania do archiwum dokumentów wytworzonych w związku z realizacją zadań w zakresie publikacji encyklopedii Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków nie jest nigdzie odnotowywany, jak również nie jest ewidencjonowane wypożyczenie z archiwum dokumentacji zawierającej dane osobowe. 6. Niezgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób zainteresowanych publikacją ich życiorysów w encyklopedii w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków (art. 40 ustawy). Pismem z dnia 5 listopada 2008 r. (sygn. DIS-K-421/129/08/30166), stanowiącym zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Spółka została poinformowana o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji o prawie do wypowiedzenia się co do zebranych dowodów i materiałów. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Prezes Zarządu Spółki, pismem z dnia 14 listopada 2008 r., przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz dokumenty mające potwierdzić ich usunięcie. Ze złożonych wyjaśnień wynika, iż: 1. Zmodyfikowano tekst dokumentu o nazwie SKRYPT VERBATIM. 2. Opracowano i wdrożono pisemną procedurę regulującą sposób postępowania z kluczami do pomieszczeń Spółki, jak również prowadzona jest ewidencja wydawanych i zdawanych kluczy do pomieszczeń Spółki. 3

3. W pomieszczeniu oznaczonym nr 7, część dokumentów zawierających dane osobowe, została umieszczona w zamykanej na klucz szafie, a część z dokumentów została przeniesiona do pomieszczenia archiwum. 4. W celu zabezpieczenia danych przed ich utratą na skutek awarii zasilania lub zakłóceniami w sieci zasilającej zakupione zostały zasilacze. 5. W celu zapewnienia ochrony kryptograficznej, przesyłanych przez redaktorów danych pocztą elektroniczną został wprowadzony do stosowania program 7 ZIO. 6. Prowadzona jest ewidencja wejść i wyjść z archiwum, jak również fakt wypożyczenia z archiwum dokumentacji zawierającej dane osobowe jest ewidencjonowany. 7. W ciągu najbliższego tygodnia zostanie zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbior danych osób zainteresowanych publikacją ich życiorysów w encyklopedii w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków. Ponadto, do pisma z dnia 14 listopada 2008 r. załączono dokumenty mające potwierdzić usunięcie uchybień stwierdzonych w toku kontroli, tj. kserokopię zmodyfikowanego dokumentu o nazwie SKRYPT VERBATIM, kserokopię dokumentu o nazwie Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu spółki W. Polska Sp, kserokopię dokumentu o nazwie Archiwum W. Rejestr wejść/wyjść, kserokopię tytułowej i przykładowej strony Książki Ewidencji Kluczy W.. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: 1. Zgodnie z art. 25 ust. 1 ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Jak ustalono w toku kontroli Spółka posiada kilka źródeł pozyskiwania informacji o osobach, którym może zaproponować przeprowadzenie wywiadu w celu utworzenia biogramu danej osoby. Do źródeł tych należą: rekomendacje osób, których biogramy zostały już utworzone, inne wydawnictwa encyklopedyczne i wydawnictwa archiwalne, jak również informacje o osobach 4

publicznych pochodzące z przekazów medialnych. Dane ww. osób pozyskiwane są w celu nawiązania pierwszego kontaktu z daną osobą. Zgodnie z wyjaśnieniem Dyrektora Zarządu Spółki z osobami tymi Spółka kontaktuje się drogą telefoniczną. Sposób przeprowadzania rozmowy telefonicznej z osobami, którym Spółka chce zaproponować przeprowadzenie wywiadu odbywa się zgodnie z procedurą o nazwie SKRYPT VERBATIM, która to procedura została przekazana Spółce do stosowania przez Y. Przedmiotowa procedura nie zawiera jednak w swej treści informacji, do których udzielenia zgodnie z art 25 ust. 1 ustawy zobowiązany jest administrator danych w przypadku, gdy pozyskał on dane osobowe nie od osób, których dotyczą. Zatem należy uznać, iż Spółka, jako przedstawicielstwo wyznaczone w Rzeczypospolitej Polskiej przez Y. nie realizuje obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy wobec osób, którym chce zaproponować przeprowadzenie wywiadu w celu utworzenia biogramu tych osób. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Prezes Zarządu Spółki, pismem z dnia 14 listopada 2008 r. złożył wyjaśnienia, w których poinformował m.in., że zmodyfikowany został tekst dokumentu o nazwie SKRYPT VERBATIM tak, aby w trakcie prowadzonych rozmów telefonicznych realizowany był obowiązek informacyjny względem osób, którym Spółka proponuje przeprowadzenie wywiadu w celu utworzenia biogramu. Do ww. pisma załączono kserokopię dokumentu o nazwie SKRYPT VERBATIM. Dokument o którym mowa powyżej, nie zawiera jednak w swej treści informacji, do których mowa w art 25 ust. 1 ustawy o ochronie danych osobowych. Zatem nie został przywrócony stan zgodny z prawem w zakresie realizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy, wobec osób, którym Spółka jako przedstawicielstwo w Rzeczypospolitej Polskiej wyznaczone przez Y w Szwajcarii proponuje przeprowadzenie wywiadu w celu utworzenia biogramu danej osoby. Zgodnie z art. 40 ustawy, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Natomiast zgodnie z art. 7 ustawy, ilekroć w ustawie jest mowa o: zbiorze danych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. - przedstawicielstwo w Rzeczypospolitej Polskiej wyznaczone przez Y przetwarza dane osób zainteresowanych publikacją ich życiorysów w encyklopedii Who is Who w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków, lecz mimo ciążącego na Spółce obowiązku zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz braku przesłanek wynikających z art. 43 ust. 1 tej ustawy, zwalniających z tegoż obowiązku, nie został zgłoszony przez 5

Spółkę (jako przedstawiciela administratora danych Y. zbiór danych osób zainteresowanych publikacją ich życiorysów w encyklopedii Who is Who w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Prezes Zarządu Spółki, pismem z dnia 14 listopada 2008 r. złożył wyjaśnienia, w których poinformował m.in., iż zbiór danych osób zainteresowanych publikacją ich życiorysów w encyklopedii Who is Who w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków zostanie zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w ciągu najbliższego tygodnia. Natomiast, z pisma z dnia 8 grudnia 2008 r. Dyrektora Departamentu Rejestracji Zbiorów Danych Osobowych Biura Generalnego Inspektora Ochrony Danych Osobowych wynika, iż do dnia 5 grudnia 2008 r. W. nie zgłosiła żadnego zbioru danych osobowych do rejestracji. Zatem nie został przywrócony stan zgodny z prawem w zakresie zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób zainteresowanych publikacją ich życiorysów w encyklopedii Who is Who w Polsce, Encyklopedia Biograficzna z życiorysami znanych Polek i Polaków. Jednocześnie na podstawie złożonych przez Spółkę pisemnych wyjaśnień i przedstawionych dokumentów, należy uznać, iż pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania zostały usunięte, tj.: 1. Zastosowano odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczono dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną poprzez umieszczenie dokumentacji zawierającej dane osobowe w zamykanych na klucz szafach. Ponadto, opracowano i wdrożono procedurę regulującą sposób postępowania z kluczami do pomieszczeń Spółki. 2. W celu zabezpieczenia danych przed ich utratą na skutek awarii zasilania lub zakłóceniami w sieci zasilającej zakupione zostały zasilacze. 3. W celu zapewnienia kryptograficznej ochrony danych przesyłanych pocztą elektroniczną zastosowano odpowiedni program. 4. Prowadzona jest ewidencja wejścia i wyjścia z archiwum. Ponadto, każdy fakt wypożyczenia z archiwum dokumentacji zawierającej dane osobowe jest odnotowywany. Stosownie do art. 105 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 1 k.p.a. jest 6

bezprzedmiotowość postępowania z jakiejkolwiek przyczyny, czyli z każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz1029/97). Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji. 7

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres