URZĄDZENIA I SYSTEMY INFORMATYCZNE

DECYZJE GIODO

INFORMATOR ADMINISTRATORA DANYCH

17 czerwca 2016

0

1312

URZĄDZENIA I SYSTEMY INFORMATYCZNE

Urządzenia i systemy informatyczne. Jak ma się cała sprawa wraz z przetwarzaniem danych osobowych.

     Poniższa decyzja dotyczy dokumentacji przetwarzania danych osobowych oraz warunków technicznych oraz organizacyjnych jakie powinny odpowiadać urządzenia i systemy informatyczne do przetwarzania danych osobowych.

Decyzja DIS/DEC-193/10394/11

     Na podstawie art. 154 § 1 i § 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), oraz § 7 ust. 2 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po rozpatrzeniu wniosku Wyższej Szkoły Europejskiej, o zmianę terminu wykonania nakazu określonego w pkt 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 listopada 2010 r. (DIS/DEC-1258/44627/10),

     Zmieniam pkt 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 listopada 2010 r. nr DIS/DEC-1258/44627/10, w części dotyczącej terminu wykonania nakazu zawartego we wskazanym punkcie decyzji, wyznaczając termin wykonania decyzji w ww. zakresie do dnia 30 czerwca 2011 r. 

Uzasadnienie: 

            W dniu 10 listopada 2010 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nr  DIS/DEC-1258/44627/10, nakazującą Wyższej Szkole Europejskiej (zwanej dalej WSE), usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

  1. Zastosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych:
  • studentów i pracowników dydaktycznych, którzy wzięli udział w programie „E”, przesyłanych do Fundacji Rozwoju Systemu Edukacji […] „Uczenie się […] za pośrednictwem poczty elektronicznej,
  • osób realizujących zajęcia dydaktyczne, przesyłanych do Ministerstwa Nauki i Szkolnictwa Wyższego z siedzibą w Warszawie przy ul. Wspólnej 1/3 za pośrednictwem poczty elektronicznej,poprzez wprowadzenie mechanizmu szyfrowania danych przesyłanych w sieci publicznej, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.
  1. Zapewnienie, aby system informatyczny wykorzystywany do obsługi […], w którym przetwarzane są dane osobowe studentów i pracowników, umożliwiał automatyczne odnotowanie informacji o dacie wprowadzenia danych do systemu oraz o identyfikatorze użytkownika, który wprowadził dane, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.
  2. Uzupełnienie polityki bezpieczeństwa, w taki sposób, aby zawarty w niej opis struktury zbiorów danych zawierał w przypadku każdego systemu informatycznego, w którym odbywa się przetwarzanie danych osobowych, wskazanie wszystkich pól informacyjnych wraz z opisem jaką zawierają informację, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

            W pozostałym zakresie postępowanie umorzono.

            W dniu […] lutego 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek WSE o zmianę terminu wykonania nakazu wskazanego w pkt 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 listopada 2010 r., nr DIS/DEC-1258/44627/10. Pozostałe nakazy decyzji nr DIS/DEC-1258/44627/10 zostały wykonane. W uzasadnieniu wniosku o zmianę terminu wykonania nakazu wskazanego w punkcie 2 ww. decyzji, WSE podniosła, iż usunięcie przedmiotowego uchybienia w procesie przetwarzania danych osobowych nie jest możliwe we wskazanym terminie, z przyczyn od niej niezależnych, powołując się na pismo z dnia […] lutego 2011 r. otrzymane od Wyższej Szkoły Informatyki […], która wdraża na WSE nowy system informatyczny służący do obsługi finansowo-księgowej, o nazwie: „A”. Do wniosku WSE załączono kopię powołanego pisma z dnia […] lutego 2011 r. Z ww. pisma wynika, iż opóźnienie w procesie wdrożenia na WSE wskazanego powyżej systemu informatycznego wynika z potrzeby znacznego zwiększenia zakresu prac wdrożeniowych. Podsystem o nazwie „B” jest bowiem „jednym z elementów zintegrowanego systemu zarządzania uczelnią.”. W związku z powyższym „Rozpoczęcie prac nad wdrożeniem tego systemu wymagało dodatkowych, czasochłonnych czynności związanych z przystosowaniem podsystemu Uczelnia XP do współpracy z systemem „B”. W powołanym piśmie Wyższej Szkoły Informatyki […], jako przewidywany termin zakończenia procesu wdrażania w WSE systemu informatycznego o nazwie „B” wskazano koniec czerwca 2011 r.

            Generalny Inspektor Ochrony Danych Osobowych zważył co następuje:

            Zgodnie z art. 154 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), decyzja ostateczna, na mocy której żadna ze stron nie nabyła prawa, może być w każdym czasie uchylona lub zmieniona przez organ administracji publicznej, który ją wydał, lub przez organ wyższego stopnia, jeżeli przemawia za tym interes społeczny lub słuszny interes strony.

            Argumenty podniesione przez WSE, dotyczące zasadności zmiany terminu usunięcia uchybienia wskazanego w punkcie 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 10 listopada 2010 r., nr DIS/DEC-1258/44627/10, zasługują na uwzględnienie, z uwagi na wykazanie przez WSE słusznego interesu w zmianie powołanej decyzji w ww. zakresie. Ze złożonych przez WSE wyjaśnień wynika bowiem, iż usunięcie uchybienia, o którym mowa w punkcie 2 decyzji nr DIS/DEC-1258/44627/10, poprzez zmianę systemu informatycznego o nazwie „A”, wykorzystywanego dotychczas na WSE do obsługi finansowo-księgowej, na system informatyczny o nazwie „B”, jest uzależnione od zakończenia prac przez Wyższą Szkołę Informatyki […], która zajmuje się wdrożeniem na WSE systemu informatycznego o nazwie „B”. Biorąc pod uwagę przewidywany termin zakończenia ww. prac wdrożeniowych należało przychylić się do wniosku WSE.

     Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

     Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.

     Treść powyższej decyzji pochodzi z oficjalnej strony Generalnego Inspektora Ochrony Danych Osobowych.

System dla ABI

Tagi:

Poprzedni artykuł:
«

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved