Burmistrz Aleksandrowa Kujawskiego musi zapłacić karę nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny 28 lutego 2024 r. w sprawie o sygn. akt. II OSK 3839/21 oddalił skargę kasacyjną Burmistrza Aleksandrowa Kujawskiego i tym samym podtrzymał decyzję Prezesa UODO z 2019 roku o karze w wysokości 40 tys. zł nałożonej w 2019 r. za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych.
reklama
NSA oddalając skargę podtrzymał argumenty podnoszone przez Prezesa UODO i zgodził się z wcześniejszym wyrokiem WSA w Warszawie o sygn. akt. II SA/Wa 2826/19 z 26 sierpnia 2020 r.
Zarzuty Prezesa UODO, z którymi zgodził się NSA, a wcześniej WSA, dotyczyły m.in. tego, że administrator nie zawarł umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i świadczył usługi serwisowe w tym zakresie.
Brak takich umów narusza art. 28 ust. 3 RODO, zgodnie z którym administrator ma obowiązek zawarcia umowy powierzenia, gdy zleca wykonanie usług związanych z przetwarzaniem danych osobowych. Spór z burmistrzem Aleksandrowa dotyczył m.in. kwestii tego, czy w takich okolicznościach RODO w ogóle ma zastosowanie. Wyrok NSA potwierdza, że wyjątki wyłączające stosowanie RODO muszą być interpretowane zawężająco i ograniczać się wyłącznie do tego, co niezbędne.
NSA potwierdził również, jak istotne jest posiadanie przez administratorów odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP, jak i określenie okresu, przez jaki będą przetwarzane dane w BIP.
NSA zgodził się z decyzją PUODO w aspekcie nieprawidłowości w związku z publikacją nagrań sesji rady miasta na kanale w YouTube. Administrator wybierając do zamieszczenia filmów z transmisją z posiedzeń rady wyłącznie kanał YouTube nie przeprowadził analizy ryzyka.
W konsekwencji administrator nie miał pełnej kontroli nad danymi zawartymi w nagraniach.
Analiza ryzyka mogła zaś pozwolić administratorowi upewnić się, czy dane z tego serwisu można odzyskać, czy w każdej sytuacji istnieje możliwość zrealizowania prawa osób do dostępu do danych, czy nie należy mieć kopii nagrań w innych miejscach, czy też jakie kategorie danych są w tym miejscu przetwarzane i zastosować odpowiednie środki ochrony, jak np. anonimizacja danych.
W pierwszej kolejności, administratorzy powinni pamiętać o konieczności zawierania umów powierzenia przetwarzania danych, gdy usługi czy operacje przetwarzania danych realizowane są przez inny podmiot.
Po drugie, bardzo istotne jest, by określić, jak długo dane będą przetwarzane do realizacji określonych celów szczególnie w sytuacji, gdy nie wynika to wprost z przepisów prawa. W sytuacji, gdy przepisy regulują tę kwestię, nie należy przetwarzać danych dłużej niż maksymalny okres wskazany w prawie.
Wreszcie, decyzja powinna uświadomić administratorom danych to, że oceniając procesy przetwarzania danych osobowych i przekazując informacje za pośrednictwem serwisów będących własnością innych administratorów, trzeba pamiętać o konieczności dokonania oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach, czyli przeprowadzenia wnikliwej analizy ryzyka.
Przeprowadzenie takiej analizy ryzyka, jak i posiadania odpowiednich polityk związanych z procesami przetwarzania danych, pozwala administratorom realizować zasadę rozliczalności, określoną w RODO. Mogą oni wówczas łatwo wykazać, że przetwarzanie danych odbywa się zgodnie z prawem, zasadą celowości, zasadą ograniczenia czasu przetwarzania i zasadą poufności oraz integralności danych.
Foto: krakenimages.com, Freepik,
treść: UODO
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|