Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędziowie WSA Sławomir Antoniuk, Ewa Marcinkowska (spr.), Protokolant sekretarz sądowy Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 16 kwietnia 2012 r. sprawy ze skargi Prezydenta Miasta B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2011 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] listopada 2011 r., wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po ponownym rozpatrzeniu sprawy, utrzymał w mocy w zakresie punktu 1 wcześniejszą decyzję z dnia [...] września 2011 r. nr [...], nakazującą Prezydentowi Miasta B. z siedzibą w B. przy ul. [...], usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania, tj. kodowania numeru PESEL na elektronicznym nośniku - [...] Karcie Miejskiej, jako danej nieadekwatnej do celu jej przetwarzania, w przypadku wydawania kolejnych kart, w terminie od dnia, w którym decyzja stanie się ostateczna.
Do wydania powyższej decyzji doszło w następującym stanie faktycznym i prawnym:
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili u Prezydenta Miasta B. - Urzędzie Miasta B. z siedzibą w B. przy ul. [...] kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
W toku kontroli odebrano od pracowników Urzędu ustne wyjaśnienia oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Zastępcę Prezydenta Miasta B.
Na podstawie zgromadzonego podczas kontroli materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Prezydent Miasta B., jako administrator danych, naruszył przepisy o ochronie danych osobowych, polegające na:
1. kodowaniu numeru PESEL na [...] Karcie Miejskiej (art. 26 ust. 1 pkt 3 ustawy);
2. niezawarciu w polityce bezpieczeństwa:
a) w opisie struktury zbioru danych osobowych o nazwie "Bilet imienny" wskazującym zawartość poszczególnych pól informacyjnych i powiązania między nimi informacji dotyczących przetwarzania danych osobowych za pomocą systemu informatycznego o nazwie "Bilet imienny" (art. 36 ust. 2 ustawy w związku z § 4 pkt 3 rozporządzenia),
b) sposób przepływu pomiędzy poszczególnymi systemami danych osobowych osób korzystających z [...] Karty Miejskiej (art. 36 ust. 2 ustawy w związku z § 4 pkt 4 rozporządzenia;
3. niezawarciu w ewidencji osób upoważnionych do przetwarzania danych osobowych identyfikatorów osób upoważnionych do przetwarzania danych w systemie informatycznym o nazwie "Bilet Imienny" (art. 39 ust. 1 pkt 3 ustawy).
W związku z powyższym, w dniu [...] sierpnia 2011 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.