USUNIĘCIE DANYCH OSOBOWYCH – DECYZJE GIODO

DECYZJE GIODO

INFORMATOR ADMINISTRATORA DANYCH

10 czerwca 2016

0

1822

Decyzje GIODO

Decyzja GIODO, wpływająca na dane osobowe w placówkach oświatowych

Kryptos24 poniżej przedstawia decyzję GIODO, która dotyczy usunięcia uchybień w procesie przetwarzania danych osobowych. Głównymi elementami zawartymi w ów decyzji, wpływającymi na ochronę danych osobowych są: usunięcie danych osobowych, zapewnienie gromadzenia danych osobowych, prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, a także zagwarantowanie, aby dostęp do informacji miały osoby uprawnione do odpowiednich danych. W pozostałych zakresach – postępowania umorzono.  

Treść decyzji DIS/DEC-1029/14/85027

     Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 oraz art. 22 w związku art. 23 ust. 1 pkt 1 w zw. art. 7 pkt 5, art. 24 ust. 1, art. 26 ust. 1 pkt 4, art. 36 ust. 2, art. 37 i art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) oraz § 4 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Politechnikę […];

  1. Nakazuję Politechnice […], jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
  2. Usunięcie danych osobowych przetwarzanych w postaci dokumentacji prowadzonej w Domu Studenckim nr […] i nr […], dla których upłynął cel przetwarzania, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
  3. Zapewnienie, aby dane osobowe gromadzone w związku z funkcjonowaniem Domów Studenckich Politechniki […] były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
  4. Zapewnienie, aby dostęp do danych osobowych posiadały wyłącznie osoby upoważnione do przetwarzania danych osobowych, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.
  5. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.
  6. W pozostałym zakresie postępowanie umarzam.

Uzasadnienie:

     Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w Politechnice […] (zwanej dalej również „Politechniką” lub „Uczelnią”), w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. kontroli […]), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182), zwaną dalej „ustawą”, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej „rozporządzeniem”. Zakresem kontroli objęto przetwarzanie danych osobowych przez Politechnikę […], w  związku z funkcjonowaniem domów studenckich, w szczególności: ubieganiem się o miejsca w domach studenckich, rozdziałem miejsc, zakwaterowaniem i wykwaterowaniem mieszkańców, odwiedzinami u mieszkańców. W toku kontroli odebrano od pracowników Uczelni ustne wyjaśnienia oraz skontrolowano systemy informatyczne, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Rektora Uczelni.

     Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Politechnika, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:

  1. Niezapewnieniu studentom ubiegającym się o miejsce w Domu Studenckim Politechniki […] możliwości swobodnego podjęcia decyzji o udzieleniu/odmowie udzielenia zgody na udostępnienie ich danych na tablicy informacyjnej Domu Studenckiego oraz na stronie internetowej Politechniki […] (art. 23 ust. 1 pkt 1 w zw. art. 7 pkt 5 ustawy).
  2. Nierealizowaniu wobec studentów ubiegających się o miejsce w Domu Studenckim Politechniki […] obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy.
  3. Niezapewnieniu, aby dane osobowe gromadzone w związku z funkcjonowaniem Domów Studenckich Politechniki […] były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 4 ustawy).
  4. Nieopracowaniu dokumentacji przetwarzania danych osobowych spełniającej wymogi wskazane w § 4 i § 5 rozporządzenia (art. 36 ust. 2 ustawy).
  5. Niezapewnieniu, aby dostęp do danych osobowych posiadały wyłącznie osoby upoważnione do przetwarzania danych osobowych (art. 37 ustawy)
  6. Nieprowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w art. 39 ust. 1 ustawy.

     W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy. Pismem zawiadamiającym o wszczęciu postępowania administracyjnego w przedmiotowej sprawie (znak: […]) administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

     W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Rektor Uczelni pismem z dnia […] września 2014 r. złożył wyjaśnienia w zakresie stwierdzonych uchybień, z których wynika m.in. iż:

  1. Zarządzeniem nr […] Rektora Politechniki […] z dnia […] września 2014 r. zmienione zostało zarządzenie nr […] z dnia […] września 2012 r. w sprawie zasad korzystania z Domu Studenckiego Politechniki […]. Wprowadzone zmiany dotyczą „Regulaminu Domów Studenckich”, który stanowi załącznik do ww. zarządzenia. W powołanym regulaminie usunięto postanowienia dotyczące obowiązku pozostawiania przez gości dowodów osobistych na portierni. Jednocześnie określono zakres danych osobowych jakie są odnotowywane w książce gości. Skorygowano także treść załącznika nr […] do ww. regulaminu (zawierającym formularz wniosku o przyznanie miejsca w Domu Studenckim Politechniki […]) poprzez wyodrębnienie oświadczenia o wyrażeniu zgody na przetwarzanie (udostępnienie) danych osobowych oraz zamieszczenie w nim informacji wskazanych w art. 24 ust. 1 ustawy. Na potwierdzenie powyższych wyjaśnień przedstawiono Zarządzenie nr […] Rektora Politechniki […] z dnia […] września 2014 r. wraz z załącznikiem.
  2. Dokumentacja, zawierająca w swej treści dane osobowe (niezwiązana z przydzielaniem pomocy materialnej), która była prowadzona w Domach Studenckich nr […] i nr […] w ostatnich dwóch latach, zostaje przekazana do Archiwum Zakładowego Politechniki […] w celu archiwizacji. Natomiast starsze dokumenty niezwiązane z przydzieleniem pomocy materialnej studentom zostaną przekazane do Archiwum Zakładowego Politechniki […] w celu uzyskania zgody Archiwum Państwowego na ich brakowanie. Działania w powyższym zakresie są w toku, a ich zakończenie planowane jest na […] października 2014 r.
  3. W dniu […] września 2014 r. Rektor Politechniki […] wydał nowe zarządzenie nr […]w sprawie realizacji w Politechnice […] ochrony danych osobowych, którego treść wraz z załącznikami spełnia wymogi dla dokumentacji przetwarzania danych osobowych, o której mowa w § 3-5 rozporządzenia. Powołane zarządzenie nr […] – które uchyliło w całości zarządzenie nr […] – stanowi załącznik do pisma Rektora Politechniki z dnia […] września 2014 r.
  4. Zakończenie procesu wydawania upoważnień do przetwarzania danych dla osób, które mają dostęp do tych danych, planowane jest na […] października 2014 r.

     Po zapoznaniu się z całością materiału dowodowego zebranego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje:

     Zgodnie z art. 26 ust. 1 pkt 4 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

     Zarządzeniem nr […] Rektora Politechniki […] z dnia […] stycznia 2006 r. w Politechnice wdrożono następujące dokumenty: „Instrukcję kancelaryjną […]”, „Jednolity Rzeczowy Wykaz Akt […]” oraz „Instrukcję o organizacji i zakresie działania Archiwum Zakładowego […]”. Zgodnie z powołaną instrukcją kancelaryjną (pkt […]) akta spraw zakończonych przechowuje się w jednostce merytorycznej przez okres 2 lat przed przekazaniem ich do archiwum zakładowego. Jak ustalono, przepis ten ma zastosowanie także do dokumentacji gromadzonej i wytwarzanej przez takie jednostki jak Domy Studenckie. W przypadku, gdy dokumenty przez nie przetwarzane nie mają związku z pomocą materialną świadczoną studentom, stosuje się do nich kategorię akt B5 (zgodnie z Jednolitym Rzeczowym Wykazem Akt pozycja: świadczenia dla studentów – domy studenckie – przydział zakwaterowanie). Oznacza to, iż po dwóch latach takie dokumenty powinny zostać przekazane do Archiwum Zakładowego na podstawie spisów zdawczo-dbiorczych, w celu przechowywania przez okres 5 lat. W przypadku dokumentacji Domów Studenckich związanej z przydzieleniem studentom pomocy materialnej (do 2012 r. przydzielanie miejsca w domach studenckich mogło być związane z udzielaniem studentom takiej pomocy) jej kategoria przechowywania wynosi BE50, co skutkuje przechowywaniem jej w Archiwum Zakładowym przez 50 lat. Jednakże dokumenty z okresu przed 2012 r. takie jak skorowidze, rejestry, listy mieszkańców, rejestry gości, raporty dobowe recepcji, grafiki obłożenia Domów Studenckich posiadają kategorię akt B5 jako dokumenty pomocnicze w zarządzaniu działalnością Domów Studenckich.

     W toku kontroli ustalono, iż prowadzona w Domu Studenckim nr […] i nr […] dokumentacja, niezwiązana z przydzieleniem studentom pomocy materialnej, zawierająca w swej treści dane osobowe, nie była dotychczas niszczona i nadal jest przechowywana w celach archiwalnych. Zatem administrator danych, pomimo opracowania stosowanych procedur, nie dopełnił obowiązku zapewnienia, aby dane osobowe były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

     Jak wynika z wyjaśnień Rektora Politechniki złożonych pismem z dnia […] września 2014 r. działania mające na celu usuniecie ww. uchybienia są obecnie w toku, a ich zakończenie planowane jest na dzień […] października 2014 r.

Odnosząc się do powyższych wyjaśnień należy jednak zauważyć, iż samo podjęcie działań w celu zapewnienia, aby dane osobowe były przetwarzane zgodnie z art. 26 ust. 1 pkt 4 ustawy, nie jest wystarczające do uznania, iż przedmiotowe uchybienie zostało usunięte. Niemniej jednak zostały one wzięte pod uwagę przy wyznaczaniu terminu na przywrócenie przez Politechnikę w ww. zakresie stanu zgodnego z prawem.

     Zgodnie z art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

     W toku kontroli ustalono, iż w Politechnice osoby posiadające dostęp do danych osobowych nie zostały upoważnione do ich przetwarzania.

     Z wyjaśnień Rektora Politechniki wynika, iż zakończenie procesu wydawania upoważnień do przetwarzania danych dla osób, które mają dostęp do tych danych planowane jest na dzień […] października 2014 r. Do dnia wydania niniejszej decyzji do Biura Generalnego Inspektora Ochrony Danych Osobowych nie wpłynął jednak, żaden dowód, który potwierdzałby, iż uchybienie w powyższym zakresie zostało ostatecznie usunięte (np. w postaci kopii przykładowych upoważnień oraz kopii ewidencji osób, którym zostały wydane).

     Zgodnie z art. 39 ust. 1 ustawy, administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania.

     W toku kontroli ustalono, że w Politechnice nie została opracowana ewidencja osób upoważnionych do przetwarzania danych osobowych.

     Z wyjaśnień przedłożonych pismem z dnia […] września 2014 r. można wnioskować, iż ewidencję osób upoważnionych do przetwarzania danych w Politechnice prowadzi administrator bezpieczeństwa informacji. W toku postępowania nie przedstawiono jednak dowodu potwierdzającego ten stan (np. w postaci kopii takiej ewidencji).

     Jednocześnie, na podstawie złożonych pismem z dnia […] września 2014 r. wyjaśnień, a także w oparciu o załączone do niego inne dowody (zarządzenie nr […] Rektora Politechniki […] z dnia […] września 2014 r. wraz z załącznikiem oraz zarządzenie nr […] Rektora Politechniki […] z dnia […] września 2014 r. wraz z załącznikami), należy stwierdzić, że pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, zostały usunięte, tj.:

  1. Studentom ubiegającym się o miejsce w Domu Studenckim Politechniki […] zapewniono możliwość swobodnego podjęcia decyzji o udzieleniu/odmowie udzielenia zgody na udostępnienie ich danych na tablicy informacyjnej Domu Studenckiego oraz na stronie internetowej Politechniki […].
  2. Wobec studentów ubiegających się o miejsce w Domu Studenckim Politechniki realizowany jest obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ustawy. Niemniej jednak należy zauważyć, iż wskazana przez Politechnikę informacja wskazująca podmiot będący o administratorem danych jest nieprecyzyjna, gdyż jako administratora danych osobowych wskazuje Rektora Politechniki […]. Tymczasem administratorem danych pozyskiwanych w związku z funkcjonowaniem Domów Studenckich Politechniki […] jest Politechnika […]. Zgodnie bowiem z art. 14 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. 2012 r. poz. 572, z późn. zm.), to uczelnia może prowadzić domy studenckie. Zatem dane osobowe, które uczelnia pozyskuje w związku z ich funkcjonowaniem, przetwarza jako administrator danych.
  3. Opracowano i wdrożono dokumentację przetwarzania danych osobowych, która spełnia wymogi wskazane w § 4 i § 5 rozporządzenia.

     Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie
z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. S.A./Sz1029/97).

     W toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania i dlatego w tym zakresie należało je umorzyć.

     Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak
w sentencji.

     Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.

     W razie niewykonania decyzji w terminie zostanie wobec podmiotu zobowiązanego do jej wykonania wszczęte postępowanie egzekucyjne na podstawie przepisów ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954
z późn. zm.).

     Treść powyższej decyzji pochodzi z oficjalnej strony Generalnego Inspektora Ochrony Danych Osobowych.

Oprogramowanie ABI

Tagi:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved