DIS/DEC-306/13534/09 - Dokumentacja przetwarzania danych osobowych pracowników.
Pismo z dnia 16 kwietnia 2009 r. Generalny Inspektor Ochrony Danych Osobowych DIS/DEC-306/13534/09 Dokumentacja przetwarzania danych osobowych pracowników.
DECYZJA
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 26 ust. 1 pkt 1, art. 31 ust. 1 i ust 2, art. 36 ust. 1, art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz § 7 ust. 1 pkt 1 i pkt 2 oraz § 7 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania w sprawie przetwarzania danych osobowych przez X, umarzam postępowanie w niniejszej sprawie.
UZASADNIENIE
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w X, zwana dalej Spółką, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanym dalej rozporządzeniem.
W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, skontrolowano
systemy informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Wiceprezesa Spółki.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie
przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na:
Przetwarzaniu danych osobowych pracowników, w zakresie znaków szczególnych oraz poprzedniego adresu zameldowania niezgodnie z przepisami prawa (art. 26 ust. 1 pkt 1 ustawy).
Przetwarzaniu bez podstawy prawnej danych osobowych obejmujących przetworzone do postaci cyfrowej (kod w postaci ciągu cyfr) informacje o charakterystycznych punktach linii papilarnych palców pracowników Spółki (art. 26 ust. 1 pkt 1 ustawy).
Nieokreśleniu w umowie o powierzenie przetwarzania danych osobowych zakresu oraz celu przetwarzania danych osobowych pracowników Spółki, w związku z obsługa kadrowo-płacową Spółki (art. 31 ust. 1 i ust 2).
Niezabezpieczeniu segregatorów z dokumentacją zawierającą dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy).
Nieopracowaniu pisemnych procedur dotyczących przekazywania do archiwum oraz wypożyczenia z archiwum dokumentacji zawierającej dane osobowe (art. 38 ustawy)
Niezapewnieniu kontroli nad tym, kiedy dane zostały do zbiorów wprowadzone, bowiem system informatyczny o nazwie "Symfonia" nie zapewniał odnotowywania informacji o dacie pierwszego wprowadzenia danych do systemu (§ 7 ust. 1 pkt 1 rozporządzenia).
Niezapewnieniu, aby system informatyczny o nazwie "Symfonia" odnotowywał dla każdej osoby, której dane osobowe są przetwarzane w tym systemie informatycznym, identyfikator użytkownika wprowadzającego dane osobowe do systemu (§ 7 ust. 1 pkt 2 rozporządzenia).
Niezapewnieniu, przez systemy informatyczne o nazwie: "Symfonia" i "Victor", dla
każdej osoby, której dane osobowe są przetwarzane w tym systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1 rozporządzenia (§ 7 ust. 3 rozporządzenia).
W związku z powyższym pismem z dnia 23 grudnia 2008 r. (sygn. DIS-K-
421/159/08/35689), zawiadamiającym o wszczęciu postępowania administracyjnego
w przedmiotowej sprawie, administrator danych został poinformowany o prawie czynnego udziału w każdym stadium postępowania, a przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Wiceprezes Spółki pismem z dni 6 stycznia 2009 r., z dnia 20 lutego 2009 r., z dnia 13 marca 2009 r. i z dnia 30 marca 2009 r. złożył wyjaśnienia, w których poinformował, że:
Kserokopie dowodów osobistych osób zatrudnionych w Spółce zostały zniszczone.
Przetwarzanie danych osobowych w zakresie kodów cyfrowych (linie papilarne wykorzystywane do ewidencji czasu pracy) - zostało zaniechane. Czas pracy obecnie ewidencjonowany jest za pomocą kart zbliżeniowych.
Regały gdzie przechowywane są segregatory z dokumentacją zawierającą dane osobowe zostały wyposażone w drzwi zamykane na klucz.
Z Biurem Rachunkowym, zajmującym się obsługa kadrowo-płacową Spółki został podpisany aneks do umowy określający zakres i cel przetwarzania danych osobowych.
Została sporządzona i wprowadzona "Instrukcja Archiwalna".
Dokonano zmian w systemach informatycznych o nazwach "Victor" i "Symfonia" w zakresie możliwości sporządzenia raportu, o którym mowa w § 7 ust. 3 rozporządzenia.
System informatyczny o nazwie "Symfonia" umożliwia odnotowanie daty pierwszego wprowadzenia danych oraz odnotowanie identyfikatora użytkownika wprowadzającego dane do systemu. Do powyższych pism załączono dowody w postaci: kserokopii "Instrukcji Archiwalnej"; zrzutu ekranu z systemu informatycznego "Victor"; korespondencji z autorem programu informatycznego o nazwie "Symfonia"; kserokopii aneksu do umowy z Biurem Rachunkowym; kserokopii protokołu zniszczenia kserokopii dowodów osobistych pracowników Spółki; zrzutu ekranu z systemu informatycznego o nazwie "Symfonia"; wydruku przykładowego raportu z systemu informatycznego o nazwie "Symfonia". Generalny Inspektor Ochrony Danych Osobowych po przeprowadzeniu analizy całego zebranego w niniejszej sprawie materiału dowodowego stwierdza, iż uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot niniejszego postępowania, zostały przez
Spółkę. usunięte, tj.:
Zaprzestano przetwarzania danych osobowych w zakresie znaków szczególnych oraz poprzedniego adresu zameldowania poprzez zniszczenie kserokopie dowodów osobistych osób zatrudnionych w Spółce.
Zaprzestano przetwarzania danych osobowych w zakresie kodów cyfrowych (linii papilarnych w celu ewidencji czasu pracy.
Zabezpieczono segregatory z dokumentacją zawierającą dane osobowe poprzez zamontowanie w regałach drzwi zamykanych na klucz.
Podpisano aneks do umowy z Biurem Rachunkowym, w którym określono zakres i cel przetwarzania danych osobowych.
Została opracowana i wprowadzona "Instrukcja Archiwalna".
Zmodyfikowano systemy informatyczne o nazwach "Victor" i "Symfonia" poprzez możliwość sporządzenia raportu, o którym mowa w § 7 ust. 3 rozporządzenia.
Zmodyfikowanie systemu informatycznego o nazwie "Symfonia", poprzez zapewnienie odnotowania daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego dane.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o jego umorzeniu. Przesłanką umorzenia postępowania na podstawie art. 105 § 1 k.p.a jest bezprzedmiotowość postępowania "z jakiejkolwiek przyczyny", czyli z każdej przyczyny powodującej brak jednego z elementów materialno prawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z 21 stycznia 1999 r. SA/Sz 1029/97).
Z uwagi na usunięcie uchybień w procesie przetwarzania danych osobowych postępowanie administracyjne należało umorzyć, jako bezprzedmiotowe. Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak
w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.