Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 25 stycznia 2019 r.

DECYZJA

ZSPU.421.1.2018

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.) oraz art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Burmistrza G.,

umarzam postępowanie w niniejszej sprawie.

Uzasadnienie

Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych kontrolujący przeprowadzili u Burmistrza G. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm). Zakresem kontroli objęty został sposób prowadzenia i zabezpieczenia przez Burmistrza G. rejestru mieszkańców. W toku kontroli odebrano od pracowników Urzędu Miejskiego w G. ustne wyjaśnienia, skontrolowano system informatyczny służący do przetwarzania danych osobowych oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza G.

Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych, Burmistrz G., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:

  1. Opracowaniu w Urzędzie Miejskim w G. klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, która nie zawierała wszystkich informacji określonych w art. 13 ogólnego rozporządzenia o ochronie danych, w szczególności informacji o wszystkich odbiorcach danych oraz okresie przechowywania danych. Ponadto, w klauzuli nie wskazano, które z wymienionych celów przetwarzania danych były realizowane przez Burmistrza G. oraz nie wskazano skutków niepodania danych osobowych.
  2. Nieujęciu w rejestrze czynności przetwarzania danych osobowych prowadzonym w Urzędzie Miejskim w G. informacji o wszystkich odbiorcach danych osobowych przetwarzanych w związku z prowadzeniem rejestru mieszkańców. Ponadto, nie został wskazany konkretny termin usunięcia danych przetwarzanych w związku z prowadzeniem rejestru mieszkańców, a ujęty w rejestrze planowany termin usunięcia danych przetwarzanych w tym samym celu, a jedynie za pomocą innego narzędzia, nie został określony w sposób spójny.
  3. Nieprowadzeniu ewidencji udostępnień z archiwum zakładowego dokumentacji zawierającej dane osobowe przetwarzane w ramach rejestru mieszkańców.
  4. Udostępnianiu dokumentacji przechowywanej w archiwum zakładowym jedynie do wglądu pracownikom komórek organizacyjnych Urzędu Miejskiego w G. bez wypełniania karty udostępniania akt.

W związku z powyższym w dniu […] listopada 2018 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy (sygn. pisma […]).

Pismem z dnia […] grudnia 2018 r., nr […] oraz pismem z dnia […] grudnia 2018 r., nr […], Burmistrz G. przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody potwierdzające ich usunięcie, z których wynika, że:

  1. Klauzula informacyjna dla osób realizujących obowiązek meldunkowy została uzupełniona o informacje o celach przetwarzania danych, odbiorcach danych, okresie przechowywania danych oraz o podstawie podawania danych i skutkach ich niepodania. Zmodyfikowana klauzula została przekazana do stosowania Kierownikowi Urzędu Stanu Cywilnego, który został upoważniony przez Burmistrza G. do prowadzenia rejestru mieszkańców w Urzędzie Miejskim w G.
  2. W rejestrze czynności przetwarzania ujęto wszystkich odbiorców danych oraz określono planowany termin usunięcia danych osobowych przetwarzanych w związku z prowadzeniem rejestru mieszkańców.
  3. Pismem okólnym […] Burmistrza G. z dnia […] września 2018 r. wprowadzona została Instrukcja udostępniania dokumentacji przechowywanej w Archiwum Zakładowym Urzędu Miejskiego w G. W ramach przyjętej procedury wdrożono kartę udostępnienia akt oraz założono ewidencję udostępniania materiałów archiwalnych i dokumentacji niearchiwalnej, co zapewnia kontrolę administratora danych, tj. Burmistrza G., nad procesem udostępniania danych osobowych zgromadzonych w archiwum w związku z prowadzeniem rejestru mieszkańców.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

W świetle złożonych przez Burmistrza G. wyjaśnień oraz załączonych pozostałych dowodów należy uznać, że stwierdzone w toku kontroli uchybienia w procesie przetwarzania danych osobowych zostały usunięte.

Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., SA/Sz1029/97).

W toku postępowania usunięte zostały uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania i dlatego należało je umorzyć.

Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 z późn. zm.) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona składająca skargę może ubiegać się o przyznanie prawa pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek ten wolny jest od opłat sądowych.

2019-04-16 Metadane artykułu
Podmiot udostępniający: Zespół ds. Sektora Publicznego
Wytworzył informację: dr Edyta Bielak–Jomaa 2019-01-25
Wprowadził‚ informację: Edyta Kruk 2019-04-16 14:16:45
Ostatnio modyfikował: Iwona Jeleń 2019-04-24 15:31:21