Starosta musi udzielać rzetelnych informacji i mieć kontrolę nad przetwarzaniem danych

Udzielenie przez starostę nierzetelnych informacji o gromadzonych i przechowywanych danych osobowych może uzasadniać podjęcie działań przewidzianych w ramach ochrony dóbr osobistych. Zwłaszcza gdy doszło do formalnych uchybień, np. przekazania w niedozwolony sposób kserokopii pism wójtowi.

@RY1@i02/2014/117/i02.2014.117.088001100.101.jpg@RY2@

DECYZJA DOLiS/DEC-67/13/4324,4325,4327,4328

● (...) przetwarzanie danych osobowych, przez które to pojęcie (...) rozumie się również ich udostępnianie, jest zgodne z prawem wówczas, gdy administrator danych legitymuje się posiadaniem, co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych, materialnych przesłanek dopuszczalności przetwarzania (...) jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to konieczne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

● (...) udostępnienie kopii dokumentów z akt sprawy na rzecz wójta Gminy Ł. było procesem legalnym opartym o przesłankę z art. 23 ust. 1 pkt 2 ustawy, (...) nie zostały spełnione wymogi formalne tego procesu. (...)

Pan P.M. nie wylegitymował się przed pracownikiem starostwa żadnym dokumentem, z którego wynikałoby, iż jest umocowany do działania w imieniu wójta (...), w szczególności do odbioru ww. dokumentów. Za umocowanie takie w ocenie Generalnego Inspektora Ochrony Danych Osobowych nie można uznać (...), iż jest osobiście znany (...) oraz że za jego pośrednictwem wójt (...) przekazywał już wcześniej korespondencje do starostwa.

(...) powyższe działanie było niezgodne (...) z przepisami Kodeksu postępowania administracyjnego, ale również regulacją wyrażoną w art. 26 ust. 1 ustawy (...). Obowiązkiem administratora danych osobowych (...) jest (...) również dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (...).

● (...) wszelkie czynności związane z przetwarzaniem danych osobowych winny być wykonywane z uwzględnieniem wszelkich środków technicznych i organizacyjnych zapewniających ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym (...).

Istotnym jest wdrożenie takiego rodzaju systemu zabezpieczania danych i kontroli tego procesu, który do minimum ograniczy możliwość wystąpienia nieprawidłowości w zakresie przetwarzania danych osobowych oraz przeszkolenie i wyczulenie na tę kwestię wykonujących te czynności pracowników.

● (...) administrator musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też mieć pełną wiedzę na temat całości procesu przetwarzania oraz weryfikować zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych, odpowiada bowiem także za ich działanie, co potwierdza nie tylko doktryna, ale i utrwalone orzecznictwo administracyjne (por. wyrok Naczelnego Sądu Administracyjnego z 4 kwietnia 2003 r., sygn. II SA 2935/02).

Oprac. Małgorzata Piasecka-Sobkiewicz