Judykatura.pl
IDEA kontakt aktualności zaloguj się Wybieram
Drukuj / Zapisz PDF
Ikona decyzja
[Decyzja]: ZSPU.421.8.2018
Prezes Urzędu Ochrony Danych Osobowych
art. 13 ust. 1 lit. c RODOart. 30 ust. 1 RODO
rejestr czynności
data dodania:
06.01.2021
data decyzji:
03.04.2019
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
zł
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
zł
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Zamówienie dostępu do Subskrypcji lub Aktualności Plus bez płatności cyklicznej.

Treść decyzji


Na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.) oraz art. 57 ust. 1 lit a) i art. 58 ust. 2 lit. d) w zw. z art. 5 ust. 1 lit. e), art. 13 ust. 1 lit. c) i e), art. 13 ust. 2 lit. a) i e)  oraz art. 30 ust. 1 lit. d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Burmistrza W., Prezes Urzędu Ochrony Danych Osobowych

I. Nakazuje Burmistrzowi W. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

  1. zapewnienie przechowywania dokumentów zawierających dane osobowe, powstałych w związku z prowadzeniem rejestru mieszkańców, przez okres zgodny z okresem wynikającym z rozporządzenia Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz. U. Nr 14 poz. 67), w terminie do dnia […] września 2019 r.
  2. wskazanie w klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy podmiotu świadczącego usługi serwisowe systemu informatycznego o nazwie A, przy użyciu którego prowadzony jest rejestr mieszkańców, tj. A. Sp. z o.o.

II. W pozostałym zakresie umarza postępowanie.

Uzasadnienie

Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych kontrolujący przeprowadzili u Burmistrza W. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm.). Zakresem kontroli objęty został sposób prowadzenia i zabezpieczenia przez Burmistrza W. rejestru mieszkańców. W toku kontroli odebrano od pracowników Urzędu Miejskiego w W. ustne wyjaśnienia, skontrolowano system informatyczny służący do przetwarzania danych osobowych oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza W.

Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Burmistrz W., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:

  1. Opracowaniu w Urzędzie Miejskim w W. klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, która nie zawierała wszystkich informacji określonych w art. 13 ogólnego rozporządzenia o ochronie danych, w szczególności informacji o wszystkich odbiorcach danych oraz nie wskazywała terminu usunięcia danych. Ponadto, w klauzuli nie wskazano, które z wymienionych celów przetwarzania danych były realizowane przez Burmistrza W. oraz nie wymieniono skutków niepodania danych osobowych.
  2. Przechowywaniu dokumentów z realizacji zadań związanych z prowadzeniem rejestru mieszkańców przez okres dłuższy, niż wynikający z rozporządzenia Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz. U. Nr 14 poz. 67).
  3. Nie ujęciu w rejestrze czynności przetwarzania informacji o stronach i uczestnikach postępowań administracyjnych prowadzonych w sprawach meldunkowych jako odbiorcach danych przetwarzanych w związku z prowadzeniem rejestru mieszkańców.

W związku z powyższym w dniu […] stycznia 2019 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy (sygn. pisma […]).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Burmistrz W. pismem z dnia […] stycznia 2019 r., nr […], przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody potwierdzające ich usunięcie, z których wynika, że:

  1. Klauzula informacyjna dla osób realizujących obowiązek meldunkowy została uzupełniona o informacje o odbiorcach danych osobowych, tj. stronach i uczestnikach postępowań administracyjnych oraz podmiotach serwisujących użytkowane systemu informatyczne, bez wskazywania konkretnych podmiotów, z którymi zawarte są takie umowy. Ponadto, w klauzuli informacyjnej wskazano planowany termin usunięcia danych, konsekwencje niepodania danych osobowych oraz wskazano, które cele przetwarzania danych osobowych realizowane są przez Burmistrza W.
  2. Dokumentacja z lat 2001-2010 została przekazana z archiwum Wydziału Spraw Obywatelskich do Archiwum Zakładowego Urzędu Miejskiego w W. Ze względu na obowiązujące procedury związane z koniecznością uzyskania zezwolenia na brakowanie z Archiwum Państwowego wskazano, że przewidywany termin zniszczenia dokumentów to przełom drugiego i trzeciego kwartału 2019 r.
  3. W rejestrze czynności przetwarzania dla czynności „Prowadzenie postępowań administracyjnych o zameldowanie/wymeldowanie/uchylenie materialno-technicznej czynności zameldowania” ujęto jako odbiorców danych osobowych strony oraz uczestników postępowań w sprawach o wymeldowanie/zameldowanie.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 13 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych osobowych, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją. Ponadto, zgodnie z art. 12 ust. 1 ogólnego rozporządzenia o ochronie danych, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania.

W przesłanej przez Burmistrza W., pismem z dnia […] stycznia 2019 r., nr […], klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, ujęta została informacja, że odbiorcą danych osobowych są podmioty, z którymi administrator zawarł umowę na świadczenie usług serwisowych dla użytkowanych w Urzędzie Miejskim w W. systemów informatycznych, natomiast nie zostały wskazane dane identyfikujące podmioty, z którymi zawarte są takie umowy, tj. ich nazwy i adresy siedziby. W toku kontroli ustalono, że w celu prowadzenia rejestru mieszkańców wdrożony został w Urzędzie Miejskim w W. jeden system informatyczny o nazwie A. W celu świadczenia usług serwisowych systemu A, Burmistrz W. zawarł w dniu […] stycznia 2018 roku umowę nr […] z A. Sp. z o.o.

Wynikająca z ogólnego rozporządzenia o ochronie danych osobowych zasada przejrzystości wymaga, aby w treści klauzuli informacyjnej administrator danych wskazywał nazwy i adresy siedzib odbiorców danych. Jak wskazuje się w piśmiennictwie „Słuszność przyjęcia zasady przejrzystości wydaje się nie budzić zastrzeżeń. Stanowi ona w istocie wyraz troski, jaką prawodawca europejski przywiązuje do wzmocnienia pozycji podmiotu danych poprzez zapewnienie należytej realizacji przysługujących mu uprawnień, w tym także tych o charakterze informacyjnym. (…) Dysponowanie odpowiednim zasobem informacji przez osoby, których dane dotyczą, jest warunkiem niezbędnym sprawowania faktycznej kontroli nad tym, kto, kiedy, w jaki sposób i w jakim celu pozyskuje informacje na ich temat, zmniejsza ryzyko nadużyć ze strony administratorów, a także pozwala na realne korzystanie z narzędzi ochrony prawnej. Otrzymanie przez podmiot danych określonego komunikatu zawierającego wszystkie niezbędne informacje jest w tym procesie równie istotne co możliwość jego zrozumienia i przyswojenia jego treści”. (J. Łuczak [w:] red. E. Bielak-Jomaa, D. Lubasz RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, Wolters Kluwer, s. 467).

Informacja o podmiocie, któremu Burmistrz W. powierzył przetwarzanie danych osobowych, w związku z prowadzeniem rejestru mieszkańców w systemie informatycznym A, w zakresie nazwy i adresu siedziby tego podmiotu powinna zostać przekazana osobie, której dane dotyczą, w związku z zasadą przejrzystego informowania.

Wobec powyższego należy uznać, że Burmistrz W. nie zawarł w klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, informacji o wszystkich odbiorcach danych osobowych stosownie do art. 13 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych.

Zgodnie z art. 5 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych, dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).

W rozporządzeniu Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz. U. Nr 14 poz. 67) został określony 10 letni okres przechowywania dokumentów dotyczących spraw meldunkowych. Tymczasem w toku kontroli ustalono, że Burmistrz W. przetwarza dane osobowe zawarte w dokumentach dotyczących postępowań w sprawach meldunkowych, przez okres dłuższy, niż wynikający z ww. rozporządzenia Prezesa Rady Ministrów.

W odpowiedzi na zawiadomienie o wszczęciu postępowania, Burmistrz W. pismem z dnia […] stycznia 2019 r., nr […] wskazał, że dokumentacja z lat 2001-2010 została przekazana spisami zdawczo-odbiorczymi nr […] z dnia […] grudnia 2018 r. oraz nr […] z dnia […] stycznia 2019 r. z archiwum Wydziału Spraw Obywatelskich do Archiwum Zakładowego Urzędu Miejskiego w W. Ze względu na obowiązujące przepisy wymagające uzyskanie z Archiwum Państwowego zezwolenia na brakowanie dokumentów, przewidywany termin zniszczenia dokumentów wskazany przez Burmistrza W. to przełom drugiego i trzeciego kwartału 2019 r. Podjęcie działań przez Burmistrza W., zmierzających do uzyskania zezwolenia na wybrakowanie dokumentów, nie może jednak stanowić podstawy do uznania, że w ww. zakresie przywrócony został stan zgodny z prawem. Burmistrz W. nadal przechowuje dokumenty zawierające dane osobowe, związane z realizacją obowiązku meldunkowego, przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, co stanowi naruszenie art. 5 ust. 1 lit. e) ogólnego rozporządzenia o ochronie danych. Biorąc jednakże pod uwagę obowiązujące przepisy związane z brakowaniem dokumentów, należy uwzględnić zaproponowany przez Burmistrza W. termin usunięcia stwierdzonych w toku kontroli uchybień w tym zakresie.

Jednocześnie, na podstawie złożonych przez Burmistrza W. wyjaśnień oraz innych przedstawionych dowodów należy uznać, że w toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, tj.:

  1. W klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, ujęto informację o stronach i uczestnikach postępowań administracyjnych w sprawach o wymeldowanie/zameldowanie będących odbiorcami danych, wskazano planowany termin usunięcia danych, konsekwencje niepodania danych osobowych oraz cele przetwarzania danych osobowych realizowane przez Burmistrza W.
  2. W rejestrze czynności przetwarzania ujęto jako odbiorców danych osobowych strony oraz uczestników postępowań w sprawach o wymeldowanie/zameldowanie.

Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., SA/Sz1029/97).

Z uwagi na to, że usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, będące przedmiotem niniejszego postępowania administracyjnego, postępowanie należało w tym zakresie umorzyć.

Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
zł
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
zł
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Zamówienie dostępu do Subskrypcji lub Aktualności Plus bez płatności cyklicznej.


Dokumenty z podobnymi tagami:

Dla tagu rejestr czynności

Ikona decyzja
data dodania:
06.01.2021
data decyzji:
03.04.2019
ZSPU.421.8.2018
Prezes Urzędu Ochrony Danych Osobowych



https://uodo.gov.pl/decyzje/ZSPU.421.8.2018
Zapisz się do newslettera
X
Loading

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności

zaloguj się IDEA kontakt aktualności podcast polityka prywatności regulamin

jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43 (00-855 Warszawa), NIP  521-332-36-17, tel. 721 621 299, kontakt@judykatura.pl

© 2020-2023 Judykatura.pl
Click to access the login or register cheese

Serwis Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies wymagane do poprawnego świadczenia usług. W ustawieniach możesz zapoznać się z informacjami dotyczącymi ich funkcjonowania, a w polityce prywatności znajdziesz informacje o stosowaniu plików cookies.

Informację o stosowaniu plików cookies

Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.

W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl

Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.

© 2020-2022 Judykatura.pl

Niezbędne Pliki Cookies

Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz. Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:

  • woocommerce_cart_hash
  • woocommerce_items_in_cart
  • wp_woocommerce_session_

Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.

Polityka plików cookies

Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.