NSA: konieczne zawarcie umowy powierzenia przetwarzania w związku z obsługą BIP
Gdy administrator danych osobowych zleca obsługę strony BIP, wówczas musi zawrzeć umowę powierzenia przetwarzania danych. Dotyczy to również podmiotu z sektora publicznego, czego dowodzi niedawny wyrok Naczelnego Sądu Administracyjnego wydany w sprawie Burmistrza Miasta Aleksandrowa Kujawskiego.
Burmistrz Aleksandrowa Kujawskiego z karą UODO
Sprawa Burmistrza Miasta Aleksandrowa Kujawskiego była jedną z pierwszych rozpatrywanych przez Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania stwierdzono naruszenie RODO w postaci niezawarcia umowy powierzenia przetwarzania danych z podmiotami obsługującymi stronę BIP jednostki samorządu terytorialnego. Wytknięto także brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP – w kontekście okresu ich publikacji. To oznaczało, że administrator stosował zbyt długi okres przechowywania danych.
WSA oddalił skargę burmistrza
Od decyzji Prezesa UODO, w której wymierzono karę pieniężną w wysokości 40 tys. zł Burmistrz złożył skargę do Wojewódzkiego Sądu Administracyjnego. Ten jednak skargę oddalił, w związku z czym sprawa trafiła do Naczelnego Sądu Administracyjnego (wyrok z dnia 26 sierpnia 2020 r. II SA/Wa 2826/19).
Obsługa BIP – konieczna umowa powierzenia przetwarzania danych
NSA również oddalił skargę Burmistrza, podtrzymując stanowisko przedstawione przez organ nadzorczy. W ocenie sądu w przedstawionej sytuacji doszło do naruszenia art. 28 ust. 3 RODO. Burmistrz zlecił bowiem zewnętrznemu podmiotowi realizację usługi związanej z przetwarzaniem danych osobowych (administrowanie stroną BIP), a mimo tego nie zawarł umowy powierzenia przetwarzania danych.
Administrator (także z sektora publicznego) musi zawrzeć umowę powierzenia przetwarzania danych, gdy zleca realizację usługi a więc także operacji przetwarzania danych innemu podmiotowi.
Zbyt długi okres przechowywania danych
Sąd potwierdził też naruszenie w zakresie określenia niewłaściwego okresu przechowywania danych osobowych (w zakresie oświadczeń majątkowych).
Administrator musi sprecyzować okres przechowywania danych, biorąc pod uwagę konieczność realizacji określonych celów przetwarzania. Gdy zaś okres przechowywania wynika z przepisów, wówczas nie należy go przekraczać.
Analiza ryzyka przed publikacją nagrań na YouTube
Do tego sąd wskazał na nieprzeprowadzenie analizy ryzyka przed rozpoczęciem przetwarzania danych polegającego na publikacji transmisji z posiedzeń rady gminy w serwisie YouTube. W konsekwencji administrator nie posiadał pełnej kontroli nad tymi danymi np. na wypadek utraty dostępu do nagrań.
Publikując dane osobowe np. w serwisie streamingowym, nie można zapominać o uprzedniej analizie ryzyka RODO.
-
wyrok Naczelnego Sądu Administracyjnego z dnia 28 lutego 2024 r. II OSK 3839/21
-
Uodo.gov.pl
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Samorządy muszą spodziewać się kontroli RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
