PROWADZENIE DZIENNIKÓW ELEKTRONICZNYCH

DECYZJE GIODO

INFORMATOR ADMINISTRATORA DANYCH

17 czerwca 2016

0

1445

PROWADZENIE DZIENNIKÓW ELEKTRONICZNYCH

Prowadzenie dzienników elektronicznych. Decyzja Generalnego Inspektora Ochrony Danych Osobowych wypunktował wymagane zadania do zrealizowania.

     Poniższa decyzja Generalnego Inspektora Ochrony Danych Osobowych dotyczy warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne. GIODO nakazuje: usunięcie uchybień w procesie przetwarzania danych, zapewnienie aby system umożliwiał prowadzenie dzienników elektronicznych, a także sporządzenie i wydrukowanie raportu wprowadzenia danych.

Decyzja DIS/DEC-  959/29604/10

     Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 31 ust. 1 i art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez  XY S.A. z siedzibą w G., za pomocą systemu informatycznego o nazwie „idziennik.edu.pl”, powierzonego XY S.A. przez placówki oświatowe, 

  1. Nakazuję XY S.A. z siedzibą w G. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
  2. Przetwarzanie danych osobowych za pomocą systemu informatycznego o nazwie „DE” (umożliwiającego prowadzenie dzienników elektronicznych), które zostało powierzone XY S.A. przez placówki oświatowe, zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), tj. na podstawie zawartych na piśmie umów powierzenia przetwarzania ww. danych, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.
  1. Zapewnienie, aby system informatyczny o nazwie „XX” umożliwiał sporządzenie i wydrukowanie raportu zawierającego  informacje o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane, odbiorcach danych, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. 

Uzasadnienie:

     Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych,przeprowadzili w XY S.A. z siedzibą w G., zwanej dalej Spółką, kontrolę zgodności  przetwarzania danych osobowych z przepisami o ochronie danych osobowych (..), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Spółki.

     Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako podmiot, któremu powierzono zgodnie z art. 31 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych, naruszyła przepisy o ochronie danych osobowych, polegające na: 

  1. Niezawarciu w formie pisemnej umowy, o której mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych, powierzenia przetwarzania danych osobowych z placówkami oświatowymi, które przetwarzają dane osobowe za pomocą systemu informatycznego o nazwie „idziennik.edu.pl”. 2. Niezapewnieniu przez system informatyczny o nazwie „XX” sporządzenia i wydrukowania raportu zawierającego informacje o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane oraz odbiorcach danych.

      W związku z powyższym, w dniu 16 czerwca 2010 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. 

      W piśmie z dnia 16 czerwca 2010 r., sygn. (…), stanowiącym zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Spółka została poinformowana o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się, co do zebranych w toku kontroli dowodów i materiałów oraz zgłoszonych żądań.

      W piśmie z dnia 25 czerwca 2010 r. Prezes Zarządu wskazał, iż zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, jednakże ustawa o ochronie danych osobowych nie nadała tej formie rygoru nieważności. Zgodnie z art. 71 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), jeżeli ustawa zastrzega dla czynności prawnej formę pisemną, czynność dokonana bez zachowania zastrzeżonej formy jest nieważna tylko wtedy, gdy ustawa przewiduje rygor nieważności. W niniejszej sytuacji takiego rygoru nie ma. Uznać więc należy umowę jako ważnie zawartą. Odnośnie niewskazania w treści umowy hostingowej, że na jej podstawie następuje powierzenie przetwarzania danych osobowych w celu wykonania tych umów hostingowych,  wyjaśniono, iż umowa ta jest wykonywana i żadna ze stron nie zgłaszała nigdy wątpliwości co do interpretacji jej treści.

     Ponadto Prezes Zarządu Spółki wskazał, iż system informatyczny o nazwie „XX” jest użytkowany od marca do lipca br. W trakcie korzystania z programu przez użytkowników nie ma technicznej możliwości dokonywania zmian w oprogramowaniu ponieważ istnieje zbyt duże ryzyko zawieszenia systemu lub innych interferencji, co pociągałoby za sobą dotkliwe konsekwencje finansowe dla Spółki. Moduł zapewniający sporządzenie i wydrukowanie raportu zostanie włączony do aplikacji po przeprowadzeniu naboru, to jest do dnia 30 września 2010 r.  

     Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: 

      Zgodnie z art. 31 ust. 1 ustawy administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. 

      W toku kontroli ustalono, iż Spółka oferuje placówkom oświatowym system informatyczny o nazwie „idziennik.edu.pl”, który umożliwia prowadzenie dzienników, o których mowa w rozporządzeniu Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. Nr 23, poz. 225 z późn. zm.), w formie elektronicznej, zgodnie z § 20a tego rozporządzenia, a tym samym przetwarzanie w tym systemie danych osobowych uczniów, ich przedstawicieli ustawowych oraz nauczycieli. 

      W październiku 2009 r. Spółka przeprowadziła wspólnie z wydawnictwem YY Polska Sp. z o.o. akcję promocyjną oferującą system informatyczny o nazwie „idziennik.edu.pl”. Z powyższej akcji promocyjnej skorzystało 88 placówek oświatowych. Zgodnie z treścią <<Regulaminu korzystania przez placówki oświatowe z pakietu on-line „Dziennik XX” – w ramach prowadzonej przez XY S.A. z siedzibą w G. akcji marketingowej – z dnia 1 października 2009 r.>> po otrzymaniu od placówki oświatowej zgłoszenia uczestnictwa w ww. akcji Spółka przesyła do placówki oświatowej kod dostępu do ww. systemu. Z chwilą otrzymania kodu dostępu pomiędzy Spółką a placówką oświatową zostaje zawarta umowa udzielenia licencji na korzystanie z systemu informatycznego, o którym mowa powyżej. Jak wynika z treści  Regulaminu, powyższa umowa nie ma formy pisemnej. Zgodnie z treścią pkt 8 Działu V Regulaminu placówka oświatowa powierza Spółce przetwarzanie danych osobowych w celu wykonania umowy. 

      Z uwagi na to, że art. 31 ust. 1 ustawy stanowi, iż powierzenie przetwarzania danych  następuje w drodze mowy zawartej na piśmie, uznać należy, iż tym samym został naruszony ww. art. 31 ust. 1 ustawy o ochronie danych osobowych. Jednocześnie art. 31 ust. 2 ustawy zobowiązuje podmiot, o którym mowa w ust. 1, aby przetwarzał dane wyłącznie w zakresie i celu przewidzianym w umowie. Tak więc określenie celu i zakresu w przetwarzania danych osobowych w <<Regulaminie korzystania przez placówki oświatowe z pakietu on-line „Dziennik XX” ramach prowadzonej przez XY S.A. z siedzibą w  G. akcji marketingowej – z dnia 1 października 2009 r.>> nie spełnia również wyżej wskazanego wymogu. Dlatego też Generalny Inspektor Ochrony Danych Osobowych uznał, iż Spółka powinna przetwarzać dane osobowe, o których mowa powyżej, na podstawie zawartych na piśmie umów powierzenia przetwarzania tych danych. 

      Ponadto 12 placówek oświatowych przetwarza dane osobowe za pomocą systemu informatycznego o nazwie „DE” na podstawie umowy hostingowej zawartej ze Spółką. Umowy hostingowe, o których mowa powyżej, nie zawierają postanowień, z których wynikałoby, iż na podstawie tych umów powierzono przetwarzanie danych osobowych w celu wykonania tych umów. Spółka nie przedstawiła również w toku kontroli odrębnych umów powierzenia przetwarzania danych osobowych w celu wykonania tych umów hostingowych.  

     Wobec powyższego należy uznać, iż Spółka przetwarza dane osobowe, o których mowa powyżej, naruszając art. 31 ustawy. 

      Zgodnie z art. 38 ustawy, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 

      W myśl § 7 ust. 3 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust.1 rozporządzenia.

     W toku czynności kontrolnych ustalono, że system informatyczny o nazwie „Nabór Elektroniczny” nie umożliwia sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o dacie pierwszego wprowadzenia danych, identyfikatorze osoby wprowadzającej dane, odbiorcach danych (§ 7 ust. 1 pkt 1, pkt 2 i pkt 4 rozporządzenia).

     Mając powyższe na uwadze, w tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

     Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art.129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia niniejszej decyzji.

     Treść powyższej decyzji pochodzi z oficjalnej strony Generalnego Inspektora Ochrony Danych Osobowych.

Program dla ABI

Tagi:

Poprzedni artykuł:
«

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved