OCHRONY DANYCH OSOBOWYCH Ewa Kulesza Warszawa, 28 października 2005 r. GI-DEC-DIS- 356/05/1015

DECYZJA Na podstawie art. 105 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r.. Nr 98, póz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 w związku z art. 36 ust. l ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, póz. 926 z późn. zm.), § 7 ust. l pkt l, § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, póz. 1024) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Gminę Kazimierz Dolny - Urząd Miasta w Kazimierzu Dolnym z siedzib ą w Kazimierzu Dolnym przy ul. Senatorskiej 5, umarzam postępowanie w tej sprawie.

Uzasadnienie. Inspektorzy

Biura

Generalnego

Inspektora

Ochrony

Danych

Osobowych

przeprowadzili w Gminie Kazimierz Dolny - Urzędzie Miasta w Kazimierzu Dolnym z siedzibą w Kazimierzu Dolnym przy ul. Senatorskiej 5, kontrolę (sygn. GI-DIS-K-411/50/05) zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.. Nr 101, póz. 926 z późn. zm.) i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, póz. 1024), zwanym dalej rozporządzeniem. W toku kontroli odebrano od pracowników Gminy Kazimierz

Dolny - Urzędu Miasta w Kazimierzu Dolnym z siedzibą w Kazimierzu Dolnym ustne wyjaśnienia, skontrolowano system informatyczny oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez Burmistrza Miasta w Kazimierzu Dolnym. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Gmina Kazimierz Domy - Urząd Miasta w Kazimierzu Dolnym z siedzibą w Kazimierzu Dolnym, jako administrator danych, naruszyła przepisy o ochronie danych osobowych poprzez: 1. Nie zabezpieczenie przed dostępem osób nieuprawnionych do pomieszczenia sekretariatu Urzędu Miasta w Kazimierzu Dolnym znajdującego się na pierwszym piętrze budynku przy ul. Senatorskiej 5, w którym są przetwarzane dane osobowe. 2. Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie Miasta w Kazimierzu Dolnym o nazwach: „System Obsługi Obywatela" (dane osobowe osób, którym wydawane są dokumenty tożsamości)^ „MBSter ver. 2000" (dane osobowe osób, którym przyznane zostały dodatki mieszkaniowe) oraz „PLA" (dane osobowe pracowników), nie zapewniają odnotowania daty pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemach. 3. Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie Miasta w Kazimierzu Dolnym o nazwach: „System Obsługi Obywatela", „MBSter ver. 2000" oraz „PLA" nie zapewniają sporządzenia i wydrukowania raportów zawierających w powszechnie zrozumiałej formie informacje, o dacie pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemach. W związku z powyższym. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie (sygn. GI-DIS-K-411/59/05/537) w celu wyjaśnienia okoliczności sprawy. W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego. Burmistrz Miasta w Kazimierzu Dolnym w piśmie z dnia 4 listopada 2004 r. złożył wyjaśnienia, w których poinformował, iż: 1. Budynek siedziby Urzędu Miasta w Kazimierzu Dolnym znajdujący się w Kazimierzu Dolnym przy ul. Senatorskiej 5, jest kamienicą z 1607 r. wpisaną do rejestru zabytków i Burmistrz Miasta w Kazimierzu Dolnym nie ma możliwości uzyskania zgody Konserwatora Zabytków na dokonanie jakiekolwiek zmiany w układzie wewnętrznym tego budynku (dodatkowe ściany, wejścia). 2. Dane osobowe przetwarzane w pomieszczeniu sekretariatu Urzędu Miasta w

Kazimierzu Dolnym, zabezpieczone zostały przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną poprzez zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych. W piśmie z dnia 4 listopada 2004 r. Burmistrz Miasta w Kazimierzu Dolnym wskazał te środki. 3. 3 Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie Miasta w Kazimierzu Dolnym o nazwach: „MBSter ver. 2000" (dane osobowe osób, którym przyznane zostały dodatki mieszkaniowe) oraz „PLA" (dane osobowe pracowników), zapewniają odnotowanie daty pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane

osobowe są przetwarzane w ww. systemach. 4. Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie

Miasta w Kazimierzu Dolnym o nazwach: „MBSter ver. 2000" oraz „PLA" zapewniają sporządzenie i wydrukowanie raportów zawierających w powszechnie zrozumiałej formie informacje, o dacie pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemach. 5. Burmistrz

Miasta w Kazimierzu Dolnym załączył także stosowne dowody

potwierdzające mniecie przedmiotowych uchybień w procesie przetwarzania danych osobowych. 6. Natomiast, w kwestii przetwarzania danych w systemie informatycznym służącym do

przetwarzania danych osobowych osób, którym wydawane są dokumenty tożsamości o nazwie „System Obsługi Obywatela" Burmistrz Miasta w Kazimierzu Dolnym wyjaśnił, iż system ten jest własnością Ministerstwa Spraw Wewnętrznych i Administracji, a Urząd Miasta nr Kazimierzu Dolnym jest jedynie jego użytkownikiem. Burmistrz Miasta w Kazimierzu Dolnym nie ma wpływu na modyfikację ww. systemu. Zatem, w toku postępowania administracyjnego na podstawie ustaleń dokonanych w toku kontroli przeprowadzonej w Ministerstwie Spraw Wewnętrznych i Administracji w zakresie przetwarzania danych w systemie informatycznym służącym do przetwarzania danych osobowych osób, którym wydawane są dokumenty tożsamości o nazwie „System Obsługi Obywatela" stwierdzić należy, iż „System Obsługi Obywatela" zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie oraz system ten zapewnia sporządzenie i wydrukowanie raportów zawierających w powszechnie zrozumiałej formie informacje, o dacie pierwszego wprowadzana danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemie. Stosownie do art. 105 § l ustawy z dnia 24 czerwca 1960 r. Kodeks postępowania

administracyjnego (Dz. U. z 2000 r.. Nr 98, póz. 1071 z późn- zna.), gdy postępowanie z jakichkolwiek przyczyn stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § l k.p.a. jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny", czyli z każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. S.A-/Sz 1029/97). Przedmiotowe postępowanie należało umorzyć, ponieważ: 1. Dane osobowe przetwarzane w sekretariacie Urzędu Miasta w Kazimierzu Dolnym znajdującym się na pierwszym piętrze budynku przy ul. Senatorskiej 5, zabezpieczone zostały przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną. 2. Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie Miasta w Kazimierzu Dolnym o nazwach: „System Obsługi Obywatela" (dane osobowe osób, którym wydawane są dokumenty tożsamości), „MBSter ver. 2000" (dane osobowe osób, którym przyznane zostały^ dodatki mieszkaniowe) oraz „PLA" (dane "osobowe pracowników), zapewniają odnotowania daty pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemach. 3.

Systemy informatyczne służące do przetwarzania danych osobowych w Urzędzie Miasta w Kazimierzu Dolnym o nazwach: „System Obsługi Obywatela", „MBSter ver. 2000" oraz „PLA" zapewniają sporządzenie i wydrukowanie raportów zawierających w powszechnie zrozumiałej formie informacji, o dacie pierwszego wprowadzenia danych do systemu, dla każdej osoby, której dane osobowe są przetwarzane w ww. systemach. Podkreślenia wymaga, iż realna i skuteczna ochrona danych osobowych przez

administratora danych możliwa jest tylko pod warunkiem dokładnego i precyzyjnego wypełnienia przepisów w tym zakresie. W celu kontroli przestrzegania prawa przez administratorów danych, w szczególności dla sprawdzenia, czy wypełniają oni obowiązki w procesie przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych posiada uprawnienia do przeprowadzenia inspekcji w siedzibie administratora danych. Uprawnienia takie posiada również w stosunku do podmiotów, które już wcześniej zostały poddane kontroli. W powyższym przypadku przedmiotem może być w mniejszym postępowaniem administracyjnym.

Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

/-/ Ewa Kulesza

Decyzja jest ostateczna. Na podstawie art. 21 ust. l ustawy o ochronie danych osobowych oraz art. 129 § 2 kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa), z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia niniejszej decyzji.