Decyzja
ZSPU.421.2.2018
Na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.) oraz art. 57 ust. 1 lit a) i art. 58 ust. 2 lit. d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) w zw. z art. 5 ust. 1 lit. f), art. 13 ust. 1 lit. c) i e), art. 13 ust. 2 lit. a) i e), art. 24 ust. 1, art. 28 ust. 3 lit. e), f), h) oraz art. 30 ust. 1 lit. d) i f) ogólnego rozporządzenia o ochronie danych, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Prezydenta Miasta W., Prezes Urzędu Ochrony Danych Osobowych
I. Nakazuje Prezydentowi Miasta W. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
- Spełnienie wobec osób realizujących obowiązek meldunkowy, obowiązku informacyjnego w zakresie informacji:
- o wszystkich odbiorcach danych osobowych wskazanych w art. 13 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych, w szczególności o stronach i uczestnikach postępowań administracyjnych prowadzonych w sprawach meldunkowych oraz
- o okresie, przez który dane osobowe będą przechowywane zgodnie z art. 13 ust. 2 lit. a) ogólnego rozporządzenia o ochronie danych.
- Ujęcie w rejestrze czynności przetwarzania danych osobowych, dla czynności przetwarzania związanych z prowadzeniem rejestru mieszkańców, informacji:
- o wszystkich odbiorcach danych, którym dane zostały lub zostaną ujawnione zgodnie z art. 30 ust. 1 lit. d) ogólnego rozporządzenia o ochronie danych oraz
- o planowanym terminie usunięcia danych zgodnie z art. 30 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych.
II. W pozostałym zakresie umarza postępowanie.
Uzasadnienie
Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych kontrolujący przeprowadzili u Prezydenta Miasta W. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm). Zakresem kontroli objęty został sposób prowadzenia i zabezpieczenia przez Prezydenta Miasta W. rejestru mieszkańców. W toku kontroli odebrano od pracowników Urzędu Miasta W. ustne wyjaśnienia, skontrolowano system informatyczny służący do przetwarzania danych osobowych oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezydenta Miasta W.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Prezydent Miasta W., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:
- Opracowaniu w Urzędzie Miasta W. klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, która nie zawierała wszystkich informacji określonych w art. 13 ogólnego rozporządzenia o ochronie danych, w szczególności informacji o wszystkich odbiorcach danych oraz nie wskazywała terminu usunięcia danych przetwarzanych w sposób tradycyjny. Ponadto, w klauzuli nie wskazano, które z wymienionych celów przetwarzania danych były realizowane przez Prezydenta Miasta W. oraz nie wymieniono skutków niepodania danych osobowych.
- Ujęciu w rejestrze czynności przetwarzania zbioru danych „E.L.”, zamiast wyodrębnionych czynności przetwarzania danych osobowych związanych z prowadzeniem rejestru mieszkańców, zgodnie z art. 30 ogólnego rozporządzenia o ochronie danych. Ponadto, w rejestrze czynności przetwarzania nie została ujęta informacja o wszystkich odbiorcach danych przetwarzanych w związku z prowadzeniem rejestru mieszkańców, w tym o stronach i uczestnikach postępowań administracyjnych prowadzonych w sprawach meldunkowych. Planowany termin usunięcia danych ze zbioru „E.L.” został określony na 50 lat, podczas gdy z rozporządzenia Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz.U. z 2011 Nr 14 poz. 67) wynikają różne okresy przechowywania dokumentów: dla dokumentów związanych z ewidencją ludności wskazany jest okres 50 letni, natomiast dla spraw meldunkowych okres 10 letni.
- Nie ujęciu w umowie nr […] z dnia […] października 2017 r. zawartej z A. S.A., dotyczącej usługi asysty technicznej i konserwacji oprogramowania użytkowego Z.S.W.Z.M. – A., informacji określonych w art. 28 ust. 3 lit. e), f), h) ogólnego rozporządzenie o ochronie danych, tj. zobowiązania podmiotu przetwarzającego do wspierania administratora w wypełnianiu jego obowiązków wynikających z ogólnego rozporządzenia o ochronie danych.
- Przetwarzaniu danych osobowych w pomieszczeniach obsługi interesantów, w których stanowiska o wydanie dowodu osobistego oraz stanowiska dla osób dopełniających obowiązku meldunkowegonie zostały od siebie oddzielone przegrodami, co uniemożliwiłoby zapoznanie się z danymi osoby obsługiwanej przy sąsiednim stanowisku, tak aby zapewnić poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych.
W związku z powyższym w dniu […] listopada 2018 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy (sygn. pisma [...]).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Prezydent Miasta W. pismami z dnia […] grudnia 2018 r., nr […] oraz z dnia […] stycznia 2019 r., nr […] przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody potwierdzające ich usunięcie, z których wynika, że:
- Klauzula informacyjna dla osób realizujących obowiązek meldunkowy została uzupełniona o informacje o A. S.A. będącym odbiorcą danych na podstawie umowy nr […] z dnia […] października 2018 roku dotyczącej asysty technicznej i konserwacji oprogramowania systemu informatycznego A. W klauzuli wskazano konsekwencje niepodania danych osobowych oraz wskazano, które cele przetwarzania danych osobowych realizowane są przez Prezydenta Miasta W.
- W rejestrze czynności przetwarzania ujęto cztery czynności przetwarzania danych wynikające z ustawy o ewidencji ludności, w tym „Prowadzenie spraw dotyczących obowiązku meldunkowego” oraz „Udostępnianie danych z rejestru mieszkańców”.
- Zasady współpracy z A. S.A., określone zostały w umowie nr […] z dnia […] października 2018 roku, w której ujęto dane wymagane dla umowy powierzenia przetwarzania danych osobowych, wskazane w art. 28 ogólnego rozporządzenia o ochronie danych.
- Zamontowane zostały przegrody pionowe pomiędzy stanowiskami w sali obsługi klientów, w celu zapewnienia poufności dla osób spełniających obowiązek meldunkowy.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 13 ust. 1 lit. e) oraz art. 13 ust. 2 lit. a) ogólnego rozporządzenia o ochronie danych, administrator podaje osobie, której dane dotyczą informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, tj. wskazuje odbiorców danych osobowych lub kategorie odbiorców oraz okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia tego okresu. Powyżej wskazane dane, administrator ujmuje również w rejestrze czynności przetwarzania, o którym mowa w art. 30 ust. 1 lit. d) i f) ogólnego rozporządzenia, zgodnie z którym w rejestrze zamieszcza się informacje o kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych oraz jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.
Pismem z dnia […] grudnia 2018 r. nr […], Prezydent Miasta W. przesłał wzór zmodyfikowanej klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy. Dla dokumentów związanych z prowadzeniem rejestru mieszkańców przetwarzanych w wersji papierowej nie określono konkretnego terminu usunięcia danych, natomiast przywołane zostało ww. rozporządzenie Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych. „Prawodawca unijny nałożył obowiązek informowania osoby, której dane dotyczą, o przewidywanym czasie przetwarzania danych w postaci wymogu wskazania okresu, przez który dane będą przechowywane. Wymóg ten wydaje się łatwy do spełnienia w przypadku, gdy przepisy prawa jednoznacznie określają terminy przechowywania danych (np. 2 lata, 5 lat, 10 lat, 50 lat). Jednakże w sytuacji, gdy przepisy nie regulują czasu przetwarzania danych, w praktyce ustalenie tego okresu, a co za tym idzie informowanie o tym może być trudne, ponieważ niekiedy administrator nie jest w stanie precyzyjnie wskazać takiego okresu. W tym przypadku komentowany przepis nakłada na administratora obowiązek wskazania kryteriów ustalania okresu przechowywania danych” (P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz,WKP 2018, Lex, komentarz do art. 13, pkt 7). W ww. rozporządzeniu wskazane zostały konkretne terminy usunięcia danych w zależności od rodzaju dokumentacji związanej z ewidencją ludności, tj.: do przechowywania dokumentów związanych z ewidencją ludności wskazany jest okres 50 letni, a dla spraw meldunkowych okres 10 letni. W związku z powyższym Prezydent Miasta W. ma możliwość precyzyjnego wskazania okresu przechowywania danych osobowych zgromadzonych w związku z prowadzeniem rejestru mieszkańców. W ten sam sposób, tj. poprzez odwołanie do przepisu prawa, a nie wskazanie konkretnego terminu, chociaż przepisy prawa określają taki termin, ujęty został planowany termin usunięcia danych dotyczących obowiązku meldunkowego w rejestrze czynności przetwarzania prowadzonym przez Prezydenta Miasta W.
Ponadto, zarówno klauzula informacyjna, jak i rejestr czynności przetwarzania, nie zawierają informacji o wszystkich odbiorcach danych, w tym o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie. Obowiązkiem administratora jest, na podstawie art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych, podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 ogólnego rozporządzenia o ochronie danych osobowych. W ramach podjętych środków, zadaniem administratora jest zidentyfikowanie i ujęcie w klauzuli informacyjnej danych o wszystkich odbiorcach danych osobowych, którym dane są przekazywane w ramach poszczególnych czynności przetwarzania danych osobowych. Odbiorcą danych zgodnie z definicją odbiorcy określoną w art. 4 pkt 9 zd. 1 ogólnego rozporządzenia o ochronie danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego czy jest stroną trzecią. W związku z prowadzonymi przez Prezydenta Miasta W. postępowaniami administracyjnymi w sprawach o zameldowanie lub wymeldowanie, odbiorcami danych są strony oraz uczestnicy tych postępowań administracyjnych. Informację o tych odbiorcach należy ująć również w rejestrze czynności przetwarzania dla czynności związanej z prowadzeniem rejestru mieszkańców. Tymczasem, w załączonych do pisma Prezydenta Miasta W. z dnia […] grudnia 2018 r., […], klauzuli informacyjnej oraz rejestrze czynności przetwarzania informacje o stronach i uczestnikach postępowań administracyjnych w sprawach o zameldowanie lub wymeldowanie nie zostały ujęte.
Wobec powyższego należy uznać, że Prezydent Miasta W. nie zawarł w klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, informacji o odbiorcach danych osobowych stosownie do art. 13 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych oraz o okresie, przez który dane osobowe będą przechowywane zgodnie z art. 13 ust. 2 lit. a) ogólnego rozporządzenia o ochronie danych oraz nie ujął w rejestrze czynności przetwarzania dla czynności związanych z prowadzeniem rejestru mieszkańców, informacji o wszystkich odbiorcach danych, którym dane zostały lub zostaną ujawnione zgodnie z art. 30 ust. 1 lit. d) ogólnego rozporządzenia o ochronie danych oraz o planowanym terminie usunięcia danych zgodnie z art. 30 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych.
Jednocześnie, na podstawie złożonych przez Prezydenta Miasta W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:
- W umowie z A. S.A. nr […] z dnia […] października 2018 roku, której przedmiot stanowi świadczenie usługi asysty technicznej i konserwacji oprogramowania systemu A., ujęto zapisy dotyczące wsparcia przez podmiot przetwarzający administratora danych w zakresie wypełnienia obowiązków ciążących na administratorze zgodnie z art. 28 ust. 3 lit. e), f) i h) ogólnego rozporządzenia o ochronie danych.
- Zamontowano przegrody pionowe pomiędzy stanowiskami obsługi klientów w sposób zapewniający osobom spełniającym obowiązek meldunkowy poufność przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych, realizując tym samym obowiązek wdrożenia odpowiednich środków technicznych wynikający z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych.
- W klauzuli informacyjnej ujęto informację o A. S.A., jako odbiorcy danych.
Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., SA/Sz1029/97).
Z uwagi na to, że usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, będące przedmiotem niniejszego postępowania administracyjnego, postępowanie należało w tym zakresie umorzyć.
Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.