[AKTUALIZACJA] NSA potwierdził, że przetwarzanie danych osobowych w ramach BIP podlega RODO

Burmistrz Aleksandrowa Kujawskiego musi zapłacić karę nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny 28 lutego 2024 r. w sprawie o sygn. akt. II OSK 3839/21 oddalił skargę kasacyjną Burmistrza Aleksandrowa Kujawskiego i tym samym podtrzymał decyzję Prezesa UODO z 2019 roku o karze w wysokości 40 tys. zł nałożonej w 2019 r. za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych.

NSA oddalając skargę podtrzymał argumenty podnoszone przez Prezesa UODO i zgodził się z wcześniejszym wyrokiem WSA w Warszawie o sygn. akt. II SA/Wa 2826/19 z 26 sierpnia 2020 r.

Zarzuty Prezesa UODO, z którymi zgodził się NSA, a wcześniej WSA, dotyczyły m.in. tego, że administrator nie zawarł umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i świadczył usługi serwisowe w tym zakresie. Brak takich umów narusza art. 28 ust. 3 RODO, zgodnie z którym administrator ma obowiązek zawarcia umowy powierzenia, gdy zleca wykonanie usług związanych z przetwarzaniem danych osobowych. Spór z burmistrzem Aleksandrowa dotyczył m.in. kwestii tego, czy w takich okolicznościach RODO w ogóle ma zastosowanie. Wyrok NSA potwierdza, że wyjątki wyłączające stosowanie RODO muszą być interpretowane zawężająco i ograniczać się wyłącznie do tego, co niezbędne.

NSA potwierdził również, jak istotne jest posiadanie przez administratorów odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP, jak i określenie okresu, przez jaki będą przetwarzane dane w BIP.

NSA zgodził się z decyzją PUODO w aspekcie nieprawidłowości w związku z publikacją nagrań sesji rady miasta na kanale w YouTube. Administrator wybierając do zamieszczenia filmów z transmisją z posiedzeń rady wyłącznie kanał YouTube nie przeprowadził analizy ryzyka. W konsekwencji administrator nie miał pełnej kontroli nad danymi zawartymi w nagraniach. Analiza ryzyka mogła zaś pozwolić administratorowi upewnić się, czy dane z tego serwisu można odzyskać, czy w każdej sytuacji istnieje możliwość zrealizowania prawa osób do dostępu do danych, czy nie należy mieć kopii nagrań w innych miejscach, czy też jakie kategorie danych są w tym miejscu przetwarzane i zastosować odpowiednie środki ochrony, jak np. anonimizacja danych.

Z wyroku NSA wynikają dla administratorów bardzo istotne konsekwencje.

• W pierwszej kolejności,  administratorzy powinni pamiętać o konieczności zawierania umów powierzenia przetwarzania danych, gdy usługi czy operacje przetwarzania danych realizowane są przez inny podmiot.
• Po drugie, bardzo istotne jest, by określić, jak długo dane będą przetwarzane do realizacji określonych celów szczególnie w sytuacji, gdy nie wynika to wprost z przepisów prawa. W sytuacji, gdy przepisy regulują tę kwestię, nie należy przetwarzać danych dłużej niż maksymalny okres wskazany w prawie.
• Wreszcie, decyzja powinna uświadomić administratorom danych to, że oceniając procesy przetwarzania danych osobowych i przekazując informacje za pośrednictwem serwisów będących własnością innych administratorów, trzeba pamiętać o konieczności dokonania oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach, czyli przeprowadzenia wnikliwej analizy ryzyka.

Przeprowadzenie takiej analizy ryzyka, jak i posiadania odpowiednich polityk związanych z procesami przetwarzania danych, pozwala administratorom realizować zasadę rozliczalności, określoną w RODO. Mogą oni wówczas łatwo wykazać, że przetwarzanie danych odbywa się zgodnie z prawem, zasadą celowości, zasadą ograniczenia czasu przetwarzania i zasadą poufności oraz integralności danych.

Uzasadnienie wyroku

Stanowisko to znajduje potwierdzenie w pisemnym uzasadnieniu wyroku przekazanym przez NSA 12 marca 2024 r (Sygn. akt III OSK 3839/21). Sąd podziela w nim argumentację PUODO oraz WSA w Warszawie.

NSA wskazuje w nim, że prawo do ochrony danych osobowych jest prawem podstawowym, którego ochronę gwarantuje prawo pierwotne Unii Europejskiej - Karta Praw Podstawowych UE oraz Traktat o funkcjonowaniu Unii Europejskiej. Do tego prawa odwołuje się RODO. Intencją ustawodawcy nie było zawężenie zakresu ochrony danych osobowych, lecz wręcz przeciwnie - zwiększenie zakresu jej stosowania. Dlatego:

• RODO ma – wbrew twierdzeniom Burmistrza – zastosowanie do danych osobowych przetwarzanych w BIP. RODO przewiduje wyłączenia, ale dotyczą one bezpieczeństwa narodowego. Podobnie stanowi ustawa o ochronie danych osobowych (z 10 maja 2018 r. Dz.U. z 2019 r., poz. 1781 art. 6). Tego rodzaju wyłączenia nie mają miejsca w niniejszej sprawie.
• To, że system BIP został zorganizowany w województwie kujawsko-pomorskim przez samorząd województwa, nie zmienia faktu, że to Burmistrz jest administratorem danych na swoim BIP. Z tego powodu ciążą na nim obowiązki wynikające z RODO. Wynika to z art. 9 ust. 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej. W pojęciu „organów władzy publicznej”, o których mowa w art. 4 ust. 1 pkt 1 tej ustawy mieszczą się organy jednostek samorządu terytorialnego.
• Kara ustalona przez Prezesa UODO jest zasadna i ustalona w sposób proporcjonalny. Ustalenia faktyczne Prezesa UODO nie dają się zakwestionować. Zastosował on tez właściwe przepisy prawa materialnego.

Sygnatura akt: II OSK 3839/21