Przeprowadzona przez GIODO kontrola działań związanych z uruchomieniem przez firmę Google Inc. usługi Street View w Polsce wykazała uchybienia.
Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) ocenia je jako formalne i raczej drobne.
Kontrola GIODO rozpoczęła się w maju i miała na celu ustalenie zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych służących do rejestracji obrazu widoku ulicy w ramach usługi Google Street View z przepisami o ochronie danych osobowych, tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Poczynione w jej toku ustalenia wykazały, że doszło do uchybień. Inspektorzy GIODO stwierdzili m.in., że wbrew przepisom ustawy o ochronie danych osobowych, Google nie wyznaczył administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad związanych z właściwym zabezpieczaniem danych osobowych.
Ustalili także, że kierowcom samochodów należących do Google'a, na których zamontowane zostały urządzenia służące do rejestracji obrazu widoku ulicy w ramach usługi Street View nie zostały nadane – wymagane przez prawo – upoważnienia do przetwarzania danych osobowych, a przecież mają oni dostęp do danych gromadzonych w związku z tą usługą. Widzą oni bowiem obraz kontrolny składający się z 15 obrazów w rozdzielczości umożliwiającej dokonanie oceny jakości i poprawności wykonywanych zdjęć, a ponadto są odpowiedzialni za bezpieczeństwo dysków twardych, na których zapisywane są wykonane zdjęcia. Należy zatem uznać, że kierowcy uczestniczą w procesie przetwarzania danych osobowych i dlatego administrator danych powinien nadać im upoważnienia do ich przetwarzania.
Konsekwencją tego niedociągnięcia jest kolejne uchybienie polegające na niewpisaniu kierowców do ewidencji osób upoważnionych do przetwarzania danych osobowych.
Ponadto podczas kontroli stwierdzono, że Google opracował wprawdzie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jednak w dokumentach tych nie został zawarty wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposób przepływu danych pomiędzy poszczególnymi systemami.
W ocenie GIODO, opisane nieprawidłowości nie są duże.
PS/źródło:GIODO
Zobacz także: