ZSPU.421.1

PostanowieniePrezes UODO2019-01-25

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy postępowanie administracyjne w sprawie naruszeń RODO powinno zostać umorzone, gdy administrator usunął stwierdzone uchybienia w toku postępowania?
Ratio decidendi
Postępowanie administracyjne w sprawie naruszeń przepisów o ochronie danych osobowych należy umorzyć, gdy w jego toku administrator usunął stwierdzone uchybienia, co powoduje bezprzedmiotowość postępowania w rozumieniu art. 105 § 1 k.p.a. Organ nie orzeka o naruszeniu ani nie nakłada sankcji, gdy przedmiot postępowania przestaje istnieć z powodu samodzielnego działania administratora.
Stan faktyczny
Kontrola UODO u Burmistrza G. wykazała naruszenia RODO związane z prowadzeniem rejestru mieszkańców: niekompletna klauzula informacyjna, braki w rejestrze czynności przetwarzania, brak ewidencji udostępnień z archiwum oraz udostępnianie akt bez karty udostępniania. W toku postępowania administracyjnego Burmistrz przedstawił wyjaśnienia i dowody na to, że wszystkie uchybienia zostały usunięte (zaktualizowano klauzulę, uzupełniono rejestr, wdrożono instrukcję i ewidencję udostępnień).
Rozstrzygnięcie
Umorzenie postępowania administracyjnego w całości.

Pełny tekst orzeczenia

Warszawa, 25 stycznia 2019prawomocna Decyzja ZSPU.421.1.2018 Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.) oraz art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Burmistrza G., umarzam postępowanie w niniejszej sprawie. Uzasadnienie Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych kontrolujący przeprowadzili u Burmistrza G. kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm). Zakresem kontroli objęty został sposób prowadzenia i zabezpieczenia przez Burmistrza G. rejestru mieszkańców. W toku kontroli odebrano od pracowników Urzędu Miejskiego w G. ustne wyjaśnienia, skontrolowano system informatyczny służący do przetwarzania danych osobowych oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza G. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych, Burmistrz G., jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1. Opracowaniu w Urzędzie Miejskim w G. klauzuli informacyjnej dla osób realizujących obowiązek meldunkowy, która nie zawierała wszystkich informacji określonych w art. 13 ogólnego rozporządzenia o ochronie danych, w szczególności informacji o wszystkich odbiorcach danych oraz okresie przechowywania danych. Ponadto, w klauzuli nie wskazano, które z wymienionych celów przetwarzania danych były realizowane przez Burmistrza G. oraz nie wskazano skutków niepodania danych osobowych. 2. Nieujęciu w rejestrze czynności przetwarzania danych osobowych prowadzonym w Urzędzie Miejskim w G. informacji o wszystkich odbiorcach danych osobowych przetwarzanych w związku z prowadzeniem rejestru mieszkańców. Ponadto, nie został wskazany konkretny termin usunięcia danych przetwarzanych w związku z prowadzeniem rejestru mieszkańców, a ujęty w rejestrze planowany termin usunięcia danych przetwarzanych w tym samym celu, a jedynie za pomocą innego narzędzia, nie został określony w sposób spójny. 3. Nieprowadzeniu ewidencji udostępnień z archiwum zakładowego dokumentacji zawierającej dane osobowe przetwarzane w ramach rejestru mieszkańców. 4. Udostępnianiu dokumentacji przechowywanej w archiwum zakładowym jedynie do wglądu pracownikom komórek organizacyjnych Urzędu Miejskiego w G. bez wypełniania karty udostępniania akt. W związku z powyższym w dniu (…) listopada 2018 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy (sygn. pisma (…)). Pismem z dnia (…) grudnia 2018 r., nr (…) oraz pismem z dnia (…) grudnia 2018 r., nr (…), Burmistrz G. przesłał wyjaśnienia w zakresie stwierdzonych uchybień oraz pozostałe dowody potwierdzające ich usunięcie, z których wynika, że: 1. Klauzula informacyjna dla osób realizujących obowiązek meldunkowy została uzupełniona o informacje o celach przetwarzania danych, odbiorcach danych, okresie przechowywania danych oraz o podstawie podawania danych i skutkach ich niepodania. Zmodyfikowana klauzula została przekazana do stosowania Kierownikowi Urzędu Stanu Cywilnego, który został upoważniony przez Burmistrza G. do prowadzenia rejestru mieszkańców w Urzędzie Miejskim w G. 2. W rejestrze czynności przetwarzania ujęto wszystkich odbiorców danych oraz określono planowany termin usunięcia danych osobowych przetwarzanych w związku z prowadzeniem rejestru mieszkańców. 3. Pismem okólnym (…) Burmistrza G. z dnia (…) września 2018 r. wprowadzona została Instrukcja udostępniania dokumentacji przechowywanej w Archiwum Zakładowym Urzędu Miejskiego w G. W ramach przyjętej procedury wdrożono kartę udostępnienia akt oraz założono ewidencję udostępniania materiałów archiwalnych i dokumentacji niearchiwalnej, co zapewnia kontrolę administratora danych, tj. Burmistrza G., nad procesem udostępniania danych osobowych zgromadzonych w archiwum w związku z prowadzeniem rejestru mieszkańców. Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje: W świetle złożonych przez Burmistrza G. wyjaśnień oraz załączonych pozostałych dowodów należy uznać, że stwierdzone w toku kontroli uchybienia w procesie przetwarzania danych osobowych zostały usunięte. Stosownie do art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego jest bezprzedmiotowość postępowania „z jakiejkolwiek przyczyny”, czyli z każdej przyczyny powodującej brak jednego z elementów materialnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., SA/Sz1029/97). W toku postępowania usunięte zostały uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania i dlatego należało je umorzyć. Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Powołane przepisy

art. 13 RODO

Źródło: Urząd Ochrony Danych Osobowych (uodo.gov.pl), pozyskano 13.07.2026. · Źródło