Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Wyrok Wojewódzkiego Sądu Administracyjnego siedziba w Warszawie z dnia 26 sierpnia 2020 r. II SA/Wa 2826/19

prowadzenie strony internetowej BIP i przechowywanie nagrań nagrań sesji Rady Miejskiej

II SA/Wa 2826/19

24/05/2021

Naruszeniue Przepisów Rodo, Zabezpieczenie Danych Osobowych,

Prowadzenie BIP wymaga procedur wewnętrznych, dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania. Przechowywanie nagrania sesji wyłącznie na serwerach YouTube, bez wykonywania kopii nagrań sesji Rady Miejskiej A., znajdujących się we własnych zasobach urzędu stanowi naruszenie RODO polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych. Naruszenie zasady rozliczności oraz art. 30 ust. 1 lit. d) oraz f) rozporządzenia 2016/679 stanowi niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miasta w A., wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania.


Skład sądu

Agnieszka Góra-Błaszczykowska (sprawozdawca)
Andrzej Kołodziej (przewodniczący)
Joanna Kube

 

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 26 sierpnia 2020 r. sprawy ze skargi Burmistrza A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia (...) października 2019 r. Nr (...) w przedmiocie przetwarzania danych osobowych oddala skargę

 

Uzasadnienie

Przedmiotem rozpoznania w niniejszej sprawie była skarga Burmistrza A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak (...) z dnia (...) października 2019 r. w przedmiocie przetwarzania danych osobowych.

Skarga została złożona w następującym stanie faktycznym sprawy:

W dniach od (...) stycznia do (...) lutego 2019 r. upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ) kontrolujący, przeprowadzili u Burmistrza A. (zwany dalej: Burmistrz, skarżący) kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4.05.2016  oraz Dz.Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: rozporządzeniem 2016/679 lub RODO) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781, zwaną dalej: u.o.d.o.). Zakresem kontroli objęty został sposób przetwarzania danych osobowych przez Burmistrza w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.

W toku kontroli odebrano od pracowników Urzędu Miejskiego w A. ustne wyjaśnienia oraz dokonano oględzin systemów informatycznych, służących do przetwarzania danych osobowych i oględzin strony BIP. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Burmistrz, jako administrator, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1) udostępnianiu danych osobowych na rzecz (...) Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...)S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 RODO, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w A. 2) braku procedur wewnętrznych, dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, w wyniku czego na stronie BIP Urzędu Miejskiego w A. publikowane są dokumenty zawierające dane osobowe przez okres dłuższy niż wynika to z przepisów prawa;

3) niewdrożeniu odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych w związku z przechowywaniem nagrania sesji wyłącznie na serwerach YouTube, bez wykonywania kopii nagrań sesji Rady Miejskiej A., znajdujących się we własnych zasobach urzędu; 4) nieprzeprowadzeniu analizy ryzyka w związku z korzystaniem przez Burmistrza z kanału YouTube w celu realizacji obowiązku prawnego, wynikającego z art. 8 ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji

publicznej (Dz.U. z 2019 r. poz. 1429, zwana dalej: DostInfPubU); 5) niewskazaniu w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miejskiego w A., wszystkich odbiorców danych oraz niewskazaniu dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczone przechowywania.

W dniu (...) czerwca 2019 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Burmistrz pismem z dnia (...) czerwca 2019 r. poinformował organ, że w zakresie uchybień dotyczących okresu publikacji dokumentów w BIP skierował wniosek do Ministra Cyfryzacji o interpretację przepisów ustawy o dostępie do informacji publicznej oraz wniósł o zawieszenie postępowania do czasu otrzymania ww. interpretacji. Wskazał, że z ustawy o dostępie do informacji publicznej w sposób jednoznaczny wynika, że udostępnianie danych dotyczy osób sprawujących władzę, a nie tych którzy sprawowali władzę. W związku z tym mogą być udostępnianie w BIP oświadczenia majątkowe tylko radnych sprawujących władzę w okresie 5 lat, a zatem w trakcie trwania kadencji, a po tym okresie powinny być usuwane z BIP i przechowywane w formie papierowej, przez okres 6 lat w stosunku do terminów od daty ich złożenia oraz udostępniania na wniosek zgodnie z zasadą jawności.

Decyzją znak (...) z dnia (...) października 2019 r. PUODO, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2018 r. poz. 2096 ze zm., dalej jako KPA), art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 u.o.d.o. oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. d) oraz i) w zw. z art. 5 ust. 1 lit. a), e) i f) oraz ust. 2, art. 24 ust. 1 i 2, art. 28, art. 30 ust. 1 lit. d) i f) oraz art. 32, a także art. 83 ust. 1 - 3 RODO, stwierdził naruszenie przez Burmistrza przepisów:

a) art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 RODO tj. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 RODO poprzez udostępnianie danych osobowych na rzecz (...) Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umów powierzenia danych osobowych, o której mowa w art. 28 ust. 3 RODO, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w A.,

b) art. 5 ust. 1 lit. e) w związku z art. 5 ust. 2, tj. zasady ograniczenia przechowywania oraz art. 24 RODO poprzez brak odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP Urzędu Miejskiego w A. pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych,

c) art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679 tj. zasady integralności i poufności, zasady prawidłowości, oraz art. 24 rozporządzenia 2016/679 poprzez nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta A.,

d) art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady integralności i poufności, oraz art. 32 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta A. wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w A.,

e) art. 5 ust. 2 RODO, tj. zasady rozliczalności oraz art. 30 ust. 1 lit. d) oraz f) RODO poprzez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miasta w A., wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania, i nakazał Burmistrzowi dostosowanie operacji przetwarzania danych osobowych do przepisów RODO, w terminie 60 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, poprzez:

1) zaprzestanie udostępniania danych osobowych na rzecz (...) Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K., bez podstawy prawnej, tj. bez uprzedniego zawarcia umów powierzenia danych osobowych z ww. podmiotami, o której mowa w art. 28 ust. 3 RODO, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w A.,

2) wdrożenie polityk: - określających okresy przetwarzania danych w BIP Urzędu Miejskiego w A. zgodne z przepisami prawa lub niezbędne do realizacji celów, dla których dane są przetwarzane, - zapewniających przestrzeganie terminów usuwania danych,

3) przeprowadzenie analizy ryzyka w związku z publikacją nagrań sesji rady miejskiej i wdrożenie odpowiednich środków organizacyjnych i technicznych w związku z przetwarzaniem danych osobowych na kanale YouTube w związku z transmisją nagrań sesji rady miejskiej oraz przechowywaniem nagrań na serwerach YouTube,

4) wdrożenie odpowiednich środków organizacyjnych i technicznych mających na celu zabezpieczenie danych osób fizycznych pochodzących z nagrań sesji Rady Miasta A. poprzez zapewnienie dostępności kopii zapasowych w zasobach własnych Urzędu Miejskiego w A.,

5) ujęcie w rejestrze czynności przetwarzania danych osobowych, dla czynności przetwarzania związanych z prowadzeniem BIP, informacji: a) o wszystkich odbiorcach danych, którym dane zostały lub zostaną ujawnione, zgodnie z art. 30 ust. 1 lit. d) rozporządzenia 2016/679, b) o planowanych terminach usunięcia danych, zgodnie z art. 30 ust. 1 lit. f) RODO.

za naruszenie przepisów art. 5 ust. 1 lit. a), e) i f), art. 5 ust. 2, art. 28, art. 30 ust. 1 lit. d) i f) oraz art. 32 RODO nałożył na Burmistrza karę pieniężną w kwocie 40.000 zł.

W uzasadnieniu podjętej decyzji organ wskazał, iż Burmistrz jako administrator danych osobowych obowiązany jest do wdrożenia odpowiednich środków organizacyjno-technicznych, które zapewnią, że dane osobowe będą przetwarzane zgodnie z prawem, merytorycznie poprawne, adekwatne do celów pozyskania oraz odpowiednio zabezpieczone, by ich przetwarzanie nie naruszało praw i wolności osób fizycznych. Istotne jest także, aby administrator przetwarzał dane osobowe wyłącznie przez czas niezbędny dla realizacji celów pozyskania danych lub czas wynikający z przepisów prawa powszechnie obowiązującego. W przypadku braku przepisów regulujących czas przetwarzania administrator powinien określić procedury regulujące moment, kiedy dane uznane za zbędne są przez niego usuwane.

Przeprowadzona w sprawie kontrola wykazała, że Burmistrz nie zawarł umów powierzenia przetwarzania danych z podmiotami, uczestniczącymi w procesie przetwarzania w ramach BIP. Zasoby BIP Urzędu Miejskiego w A. znajdują się na serwerze podmiotu zewnętrznego, zlokalizowanym w (...) w T., który zapewnia parametry techniczne utrzymania strony BIP podmiotów objętych umową, w tym Urzędu Miejskiego w A., na podstawie umowy najmu, zawartej pomiędzy Województwem (...) a (...) Sp. z o.o. z siedzibą w T.. W toku kontroli przedstawiona została umowa nr (...) z dnia (...) lipca 2016 r., obowiązująca od (...) stycznia do (...) grudnia 2017 r., aneks nr (...) z dnia (...) marca 2018 r. do umowy nr (...) na okres od (...) stycznia do (...) grudnia 2018 r. Nie przedstawiono aktualnej umowy pomiędzy Województwem (...) a (...) Sp. z o.o. z siedzibą w T.. Przedstawiona umowa oraz aneks nr (...) nie zawierały postanowień, dotyczących przetwarzania danych osobowych w związku z korzystaniem przez Urząd Miejski w A. z serwera podmiotu zewnętrznego.

W trakcie kontroli ustalono, że w związku z dostarczeniem oprogramowania dotyczącego utworzenia regionalnego BIP, w dniu (...) stycznia 2015 r. zawarta została umowa pomiędzy Województwem (...) a konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K.. W zawartej umowie nie zostały ujęte postanowienia, dotyczące ochrony danych osobowych ani nie została zawarta umowa o powierzeniu przetwarzania danych osobowych związana ze świadczeniem usług serwisowych na rzecz Urzędu Miejskiego w A..

W toku kontroli nie przedstawiono umowy pomiędzy Województwem (...) a Burmistrzem, nie wykazano innego instrumentu prawnego, z którego wynikałoby, że udostępnienie serwera oraz dostarczenie oprogramowania służącego do utworzenia regionalnego BIP realizowane jest przez Województwo (...) na rzecz Urzędu Miejskiego w A..

PUODO uznał, że Burmistrz, w związku z korzystaniem z serwera podmiotu zewnętrznego, tj. (...) Sp. z o.o. z siedzibą w T., na którym znajdują się zasoby BIP Urzędu Miejskiego w A. oraz z usług podmiotu zewnętrznego w zakresie serwisowania strony internetowej BIP, tj. konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K., nie zawarł z tymi podmiotami umowy powierzenia przetwarzania danych osobowych, a tym samym naruszył art. 28 ust. 3 RODO.

W przypadku udostępnienia danych osobowych bez podstawy prawnej (bez uprzednio zawartej umowy powierzenia), następuje naruszenie zasady zgodności z prawem (art. 5 ust. 1 lit. a) RODO) oraz zasady poufności art. 5 ust. 1 lit. f RODO). Burmistrz nie zachował powyższych zasad zlecając prowadzenie BIP ww. podmiotom bez uprzedniego zawarcia umów powierzenia danych. Dopuścił tym samym do braku kontroli nad prawidłowością procesu przetwarzania danych zawartych w BIP i nie wykazał, że następuje on przy spełnieniu wymogów wynikających z przepisów ogólnego rozporządzenia o ochronie danych. Burmistrz w tym zakresie naruszył także zasadę rozliczalności, wynikającą z art. 5 ust. 2 rozporządzenia 2016/679.

Organ wyjaśnił dalej, że w BIP Urzędu Miejskiego w A. udostępniane są informacje publiczne na podstawie obowiązku ciążącego w tym zakresie na Burmistrzu, wynikającym z art. 8 ust. 2 DostInfPubU. Przepisy ustawy o dostępie do informacji publicznej, a także przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz.U z 2007 r. Nr 10, poz. 68, zwane dalej: rozporządzeniem BIP), nie precyzują okresu udostępniania informacji w BIP, zarówno minimalnego, jak i maksymalnego. Brak jednak określonych przepisami prawa okresów przetwarzania udostępnionych informacji (zawierających dane osobowe), nie powoduje, że informacje takie można przetwarzać bezterminowo. Wobec tego administrator, zgodnie z zasadą ograniczonego przechowywania, wynikającą z art. 5 ust. 1 lit. e) rozporządzenia 2016/679, powinien w tym zakresie kierować się przepisami wynikającymi z innych aktów prawa, z których wynika czas, przez jaki może przetwarzać dane osobowe, a w przypadkach, w których prawo nie reguluje okresu retencji danych, po przeprowadzeniu analiz, określić ten okres tak, aby przetwarzanie danych było zgodne z celami, z którymi je pozyskano. Zasada ograniczenia czasowego udostępnienia danych osobowych w BIP oznacza, że nawet jeśli określone dane odpowiadają celowi, dla którego są zbierane, to nie powinny być przetwarzane, w tym udostępniane innym podmiotom bez żadnego czasowego ograniczenia. Czasowym wyznacznikiem powinno być osiągnięcie celu przetwarzania.

W wyniku oględzin strony BIP Urzędu Miejskiego w A. ustalono w szczególności, że wśród zamieszczonych tam dokumentów są dokumenty zawierające dane osobowe, tj. oświadczenia majątkowe oraz informacje o wynikach naborów na wolne stanowiska. Najstarsze informacje dotyczą naborów przeprowadzonych w 2012 r. i zawierają informacje o wybranych kandydatach w zakresie: imię i nazwisko oraz miejsce zamieszkania (tj. miejscowość, w której osoba przebywa z zamiarem stałego pobytu). Najstarsze zamieszczone na archiwalnej stronie BIP Urzędu Miejskiego w A. oświadczenia majątkowe dotyczą 2010 r. Zgodnie z art. 24i ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz.U. z 2019 r. poz. 506, zwana dalej: SamGminU), informacje zawarte w oświadczeniach majątkowych radnych są jawne, z wyłączeniem informacji o adresie zamieszkania osoby składającej oświadczenie oraz o miejscu położenia nieruchomości. Zgodnie z art. 24h ust. 6 SamGminU, oświadczenie majątkowe przechowuje się przez 6 lat. Przepisy te stanowią o legalności przetwarzania, w zakresie zarówno gromadzenia, jak i publikowania danych osobowych zawartych w oświadczeniach majątkowych. Publikację ogłoszeń o naborach reguluje art. 13 ust. 1 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. z 2019 r. poz. 1282, zwana dalej: PomSpołU), zgodnie z którym ogłoszenie o wolnym stanowisku urzędniczym, w tym kierowniczym stanowisku urzędniczym, oraz o naborze kandydatów na to stanowisko umieszcza się w BIP. Na podstawie art. 15 ust. 1 PomSpołU, niezwłocznie po przeprowadzonym naborze informacja o wyniku naboru jest upowszechniana przez umieszczenie na tablicy informacyjnej w jednostce, w której był przeprowadzony nabór, oraz opublikowana w BIP przez okres co najmniej trzech miesięcy. Tym samym ustawodawca wskazał minimalny termin publikacji wyników wyboru, nie określając okresu maksymalnego, natomiast określenie terminu maksymalnego, tj. terminu po jakim powinien on te dane usunąć z BIP, ustawodawca pozostawił administratorowi (podmiotowi zobowiązanemu do udostępnienia informacji). Przy określaniu okresu przetwarzania danych w BIP, administrator powinien brać pod uwagę przepisy prawa regulujące czas przetwarzania, a w przypadku braku regulacji prawnych, określających okres publikacji, osiągnięcie celu przetwarzania oraz zasadę ograniczenia przechowywania.

W kontekście powyższego organ stwierdził, że opublikowane w BIP informacje, dla których termin publikacji nie wynika z przepisów prawa, powinny zostać poddane ocenie, zgodnie z formalną procedurą (wprowadzoną przez administratora), zapewniającą usystematyzowane kształtowanie BIP, tak aby wszystkie informacje, dla których cel przetwarzania został osiągnięty, zostały z BIP usunięte. Jak ustalono w toku kontroli, w Urzędzie Miejskim w A. została wdrożona wewnętrzna procedura dotycząca prowadzenia BIP, jednakże nie zawiera ona zasad dotyczących przeglądu danych opublikowanych w BIP pod kątem zapewnienia ich przetwarzania zgodnie z zasadą ograniczonego przechowywania. Burmistrz naruszył tym samym dyspozycję zawartą w art. 5 ust. 1 lit. e) oraz art. 24 ust. 2 RODO.

Organ wskazał, iż z zebranego w sprawie materiału dowodowego wynika, że Burmistrz nie określił w procedurach wewnętrznych terminu usuwania danych opublikowanych w BIP, jak również nie opracował procedur, dotyczących przeglądu zasobów danych w materiałach opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczenia przechowywania. W związku z brakiem takich procedur, jak stwierdzono w toku kontroli, na stronie BIP Urzędu Miejskiego w A. publikowane są dokumenty zawierające dane osobowe przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, a nawet przez okres dłuższy, niż wynika to z przepisów prawa, określających okres przechowywania dokumentów, zawierających dane osobowe, jak to ma miejsce w odniesieniu do oświadczeń majątkowych. Skutkiem tego jest umożliwienie dostępu do danych nieograniczonej liczbie użytkowników Internetu. Każdy bowiem, kto ma dostęp do internetu, w dowolnym czasie i bez żadnych ograniczeń może przeglądać zasoby BIP Urzędu Miejskiego w A., a w konsekwencji mieć wgląd w dane osobowe, które w tych zasobach się znajdują. Tym samym Burmistrz naruszył art. 5 ust. 1 lit. e) RODO.

Wobec faktu, że przedmiotowa procedura wewnętrzna ma regulować istotne dla procesu przetwarzania danych osobowych czynności na tych danych, w celu zapewnienia realizacji zasady ograniczenia przechowywania, należy ją traktować jako politykę ochrony danych, o której mowa w art. 24 ust. 2 RODO. W konsekwencji, wobec braku tej procedury organ stwierdził naruszenie przez Burmistrza także i tego przepisu rozporządzenia 2016/679 w kontekście zasady rozliczalności wyrażonej w art. 5 ust. 2 RODO.

Odnosząc się do procesu przetwarzania danych osobowych w związku z publikacją nagrań z sesji rady miejskiej organ wskazał, że na podstawie art. 20 ust. 1b SamGminU obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w BIP i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty. Burmistrz, jako administrator, decydując się na wybór narzędzi służących do transmisji danych w internecie oraz utrwalania ich za pomocą urządzeń rejestrujących obraz i dźwięk, jest odpowiedzialny za proces przetwarzania tych danych oraz realizację zasad wynikających z RODO, w tym za wykazanie ich przestrzegania (rozliczalność). Na Burmistrzu spoczywa więc obowiązek zapewnienia bezpieczeństwa danych przetwarzanych wraz z realizacją prawa dostępu do informacji publicznej w trybie art. 8 DostInfPubU. Według regulacji art. 24 ust. 1 rozporządzenia 2016/679, administrator (Burmistrz) ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby mógł to wykazać. Na administratorze ciąży obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych, których wybór pozostaje w gestii administratora i powinien być poprzedzony analizą ryzyka naruszenia praw lub wolności osób fizycznych.

W toku kontroli ustalono, że w związku z obowiązkiem transmisji i publikacji obrad Rady Miejskiej A. w BIP utworzony został kanał na YouTube oraz zawarta została umowa z podmiotem zewnętrznym na transmisję posiedzeń organów Miasta A. w sieci internet poprzez platformę YouTube.com. Publikacja danych osobowych przetwarzanych w związku z nagrywaniem i publikacją obrad sesji Rady Miejskiej A. realizowana jest z wykorzystaniem kanału YouTube. Na stronie BIP Urzędu Miejskiego w A. zamieszczony został link do dedykowanego kanału YouTube. Z ustaleń kontroli wynika, że z chwilą zakończenia nagrania sesji, nagranie to zostaje automatycznie zapisane na stronie YouTube, a w Urzędzie Miejskim w A. nie pozostaje żadna kopia tego nagrania. W związku z brakiem kopii nagrania sesji, w przypadku utraty danych, zamieszczonych na stronie YouTube, Burmistrz utraci dostęp do zapisu nagrania, a nie mając odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku, nie ma możliwości zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o którym mowa w art. 32 ust. 1 lit. b) oraz lit. c) RODO. Burmistrz nie wskazał, iż istnieją procedury, które dawałyby gwarancję ochrony danych osobowych, przetwarzanych na kanale YouTube.

Ponadto decyzja o korzystaniu z kanału YouTube nie została poprzedzona analizą możliwych ryzyk, wynikających z korzystania z tego narzędzia podczas przetwarzania danych osobowych uczestników sesji Rady Miejskiej. W szczególności, decydując się na korzystanie z kanału YouTube nie wzięto pod uwagę, że korzystanie przez administratora z zasobów i narzędzi oferowanych przez podmioty zewnętrzne, w tym przypadku przez podmiot prowadzący kanał YouTube, może wiązać się z wyższym ryzykiem naruszenia ochrony danych osobowych ze względu na fakt, że środki organizacyjne i techniczne, wykorzystywane dla ochrony danych osobowych, opublikowanych na YouTube zostały określone i wdrożone przez Google LLC (z siedzibą w USA), właściciela YouTube. Analiza ryzyka dla przetwarzania danych osobowych w związku z ich publikacją w BIP, jest szczególnie istotna ze względu na fakt, że Burmistrz wykorzystuje kanał YouTube zarówno w celu transmisji danych na YouTube z sesji Rady Miejskiej, jak i w celu dalszego przechowywania nagrań z sesji wyłącznie na serwerach YouTube. Brak analizy ryzyka i brak procedur doprowadził do naruszenia zasady rozliczalności - art. 5 ust. 2 RODO.

W ocenie organu Burmistrz, w związku z obowiązkiem transmisji i publikowania nagrań sesji Rady Miejskiej w BIP nie dokonując analizy ryzyka, nie wdrożył odpowiednich środków bezpieczeństwa, o których mowa w art. 32 RODO, odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych. Obowiązkiem administratora podczas przetwarzania danych, jest określenie ryzyka przy uwzględnieniu charakteru, zakresu i kontekstu przetwarzanych danych, co wynika z art. 24 ust. 1 RODO. Z ustaleń kontroli nie wynika, aby zastosowano środki organizacyjne i techniczne, mające na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miejskiej wyłącznie na serwerach YouTube poprzez wykonywanie kopii zapasowych tych nagrań i przechowywanie ich w zasobach własnych Urzędu Miejskiego w A.. Tym samym administrator nie wdrożył odpowiednich środków organizacyjnych i technicznych, o których mowa w art. 32 RODO.

W toku kontroli stwierdzono także braki w zakresie prowadzenia rejestru czynności przetwarzania danych osobowych. W Urzędzie Miejskim w A. opracowany został rejestr czynności przetwarzania, w którym ujęte zostały 54 czynności przetwarzania. W rejestrze tym nie został jednak wskazany planowany termin usunięcia danych osobowych poprzez wskazanie konkretnego okresu przechowywania, w rejestrze odwołano się w tym zakresie jedynie do jednolitego rzeczowego wykazu akt dla gmin. Z przesłanych przez Burmistrza przykładowych kart z rejestru czynności, w tym karty dotyczącej czynności przetwarzania związanych z publikacją w BIP oświadczeń majątkowych wynika, że planowany termin usunięcia danych z BIP został określony przez Burmistrza na 5 lat, co w przypadku oświadczeń majątkowych jest niezgodne z treścią art. 24h ust. 6 SamGminU. Organ za nieprawidłowe uznał też stanowisko skarżącego (zawarte w piśmie z 17 czerwca 2019 r.), dotyczące udostępniania danych osób sprawujących władzę (a nie tych którzy sprawowali władzę) oraz okresu udostępniania tych danych stwierdzając, że z przepisów ustawy o samorządzie gminnym wynika, iż okres przechowywania takich informacji wynosi 6 lat. Nie ma też znaczenia, czy osoba, która złożyła oświadczenie, wciąż pełni swoją funkcję. Obowiązek prowadzenia BIP i udostępniania w nim informacji publicznych wynika z przepisów ustawy o dostępie do informacji publicznej. Skoro ustawodawca przesądził, że oświadczenia majątkowe są jawne (z wyłączeniem informacji o adresie zamieszkania osoby składającej oświadczenie oraz o miejscu położenia nieruchomości), to należy uznać, że stanowią informację publiczną, która podlega publikacji w BIP przez okres wynikający z przepisów ustawy o samorządzie gminnym, tj. przez okres 6 lat, niezależnie od tego, czy dana osoba nadal jest radnym, czy też już przestała nim być. W konsekwencji, to właśnie termin 6 lat powinien zostać wskazany w prowadzonym przez Burmistrza rejestrze czynności przetwarzania danych osobowych jako planowany termin usunięcia danych osobowych, zawartych w treści oświadczenia majątkowego.

Ponadto w rejestrze czynności przetwarzania nie zostali wskazani wszyscy odbiorcy danych, w tym podmioty przetwarzające, podczas gdy w toku kontroli przedstawione zostały umowy z podmiotami świadczącymi usługę udostępnienia serwera, na którym przechowywane są zasoby BIP oraz usługę gwarancji w związku z utworzeniem regionalnego BIP, co wiąże się z dostępem tych podmiotów do danych osobowych, przetwarzanych przez Burmistrza w związku z prowadzeniem BIP. W rejestrze czynności przetwarzania nie wskazano też podmiotu prowadzącego kanał YouTube, na którym dostępne są nagrania sesji Rady Miejskiej A.. Z art. 30 ust. 1 lit. d) RODO wynika natomiast obowiązek wymienienia w rejestrze czynności przetwarzania wszystkich odbiorców danych, niezależnie od tego, czy mają siedzibę w państwie członkowskim Unii Europejskiej, czy też w państwie trzecim. Tym samym organ uznał, że Burmistrz nie wskazał w rejestrze czynności przetwarzania danych osobowych wszystkich odbiorców danych oraz nie wskazał dla wszystkich czynności przetwarzania planowanego terminu usunięcia danych, a tym samym naruszył art. 30 ust. 1 lit. d) oraz f) RODO oraz art. 5 ust. 2 RODO, tj. zasadę rozliczalności.

W konsekwencji PUODO stwierdził, iż wskazane naruszenia świadczą, że Burmistrz nie przetwarza danych osobowych zgodnie z zasadami wynikającymi z art. 5 ust. 1 lit. a), e) i f) rozporządzenia 2016/679, co oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, zgodnie z którym administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Zasady określone w art. 5 ust. 1 rozporządzenia 2016/679 stanowią punkt wyjścia dla realizacji obowiązków administratora oraz praw osób, których dane dotyczą, jak również dla oceny legalności tych procesów.

Jednocześnie PUODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Burmistrza administracyjnej kary pieniężnej. Ustalając wysokość kary organ wziął pod uwagę okoliczności sprawy, wpływające obciążająco na wymiar nałożonej kary finansowej: 1) czas trwania naruszeń objętych nakazem określonym w niniejszej decyzji (stwierdzone nieprawidłowości nie zostały usunięte ani w toku kontroli przeprowadzonej u Burmistrza, ani w toku postępowania administracyjnego),

2) wszelkie wcześniejsze naruszenia ze strony administratora (udostępnienie formularzy PIT-11 i PIT-37 w wersji niezanonimizowanej na stronie internetowej BIP – w tym zakresie wydana została upominająca z (...) grudnia 2018 r. oraz decyzja utrzymująca ją w mocy z dnia (...) maja 2019 r.), 3) umyślny charakter naruszenia, 4) stwierdzone w toku kontroli naruszenia dotyczą osób, których dane znajdują się w treści materiałów stanowiących informację publiczną, opublikowanych w BIP Urzędu Miejskiego w A., 5) wysoki stopień odpowiedzialności administratora - wobec braku jego działań zmierzających do zapewnienia odpowiedniego poziomu bezpieczeństwa danych oraz niewdrożenia stosownych polityk ochrony danych; 6) brak współpracy administratora po wszczęciu postępowania, który w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego nie odniósł się do wskazanych w nim naruszeń (poza kwestią związaną z terminem retencji danych udostępnionych na stronie internetowej BIP).

Organ wyjaśnił także, iż ustalając wysokość administracyjnej kary pieniężnej, nie znalazł podstaw do uznania, że zachodziły jakiekolwiek okoliczności łagodzące, mające wpływ na ostateczny wymiar kary.

W skardze złożonej na opisaną decyzję do sądu administracyjnego skarżący, reprezentowany przez profesjonalnego pełnomocnika, wniósł o stwierdzenie nieważności zaskarżonej decyzji w całości i umorzenie w tym zakresie postępowania administracyjnego ewentualnie o uchylenie zaskarżonej decyzji i zobowiązanie organu do wydania w terminie 30 dni decyzji o umorzeniu postępowania w niniejszej sprawie oraz o zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego. Wydanej decyzji skarżący zarzucił naruszenie prawa materialnego, tj.:

1. art. 2 ust. 2 lit. a) RODO przez jego niewłaściwe zastosowanie w związku z art. 1 ust. 1 w związku z art. 168 u.o.d.o., co doprowadziło do wydania zaskarżonej decyzji stwierdzającej naruszenie art. 5 RODO poza zakresem jego zastosowania, a w konsekwencji bezpodstawne nałożenie administracyjnej kary pieniężnej;

2. naruszenie art. 28 ust. 3 RODO w związku z art. 5 ust. 1 pkt a), pkt f) oraz art. 5 ust. 2 rozporządzenia 2016/679 i nakazującej zaprzestanie udostępniania danych osobowych na rzecz (...) sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K. oraz nakazującej dostosowanie operacji przetwarzania do przepisów RODO, która to decyzja w tym zakresie była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały, a w konsekwencji bezpodstawne nałożenie administracyjnej kary pieniężnej,

3. art. 5 ust. 1 pkt e) w związku z art. 5 ust. 2, art. 24 rozporządzenia 2016/679 oraz art. 11b ust. 1 SamGminU i art. 8 KPA, poprzez jego niewłaściwe zastosowanie;

4. art. 5 ust. 1 pkt f) w związku z art. 5 ust. 2 i art. 24 rozporządzenia 2016/679, przez jego niewłaściwe zastosowanie;

5. art. 5 ust. 1 pkt f) w związku z art. 5 ust. 2 i art. 32 rozporządzenia 2016/679, poprzez jego niewłaściwe zastosowanie;

6. art. 30 ust. 1 pkt d) i f) w związku z art. 5 ust. 1 pkt e) i art. 5 ust. 2 rozporządzenia 2016/679, przez jego niewłaściwe zastosowanie.

W uzasadnieniu skargi skarżący szczegółowo omówił przedstawione wyżej zarzuty.

W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga nie zasługiwała na uwzględnienie.

Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002r- Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm., zwana dalej PostAdmU), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 PostAdmU, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną.

Sąd, przeprowadzając kontrolę zaskarżonego rozstrzygnięcia nie stwierdził, aby Prezes UODO wydając decyzję z dnia (...) października 2019 r. naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy.

W odniesieniu do pierwszego i najdalej idącego z zarzutów, przywołanego w skardze, polegającego na naruszeniu prawa materialnego tj. art. 2 ust. 2 lit. a) RODO przez jego niewłaściwe zastosowanie w związku z art. 1 ust. 1 w związku z art. 168 u.o.d.o., co doprowadziło do wydania zaskarżonej decyzji stwierdzającej naruszenie art. 5 rozporządzenia 2016/679 poza zakresem jego zastosowania, a w konsekwencji bezpodstawne nałożenie administracyjnej kary pieniężnej, Sąd zarzut uznał za bezzasadny.

Przepis art. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz.Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: rozporządzeniem 2016/679) wyznacza materialny zakres stosowania.

Ustęp 1 stanowi, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Natomiast ustęp 2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii;

Całkowicie nietrafne, zdaniem Sądu, są podnoszone przez skarżącego zarzuty, iż decyzja narusza przepisy RODO, wobec zastosowania ich do działalności nieobjętej przepisami Unii Europejskiej. Wyłączenia, określone w art. 2 ust. 2 lit. a RODO, mają charakter wyjątkowy i nie mają zastosowania w sprawie niniejszej.

Wykładnia w.w. wyłączenia musi zostać dokonana z uwzględnieniem wykładni systemowej i celowościowej. Jak trafnie zauważył organ w odpowiedzi na skargę, rozumienie przepisu w taki sposób, jak wskazuje skarżący spowodowałoby, że dane osobowe właściwie nie podlegałyby ochronie. Intencją ustawodawcy nie było zawężenie stosowania ochrony danych osobowych, a wręcz przeciwnie, zwiększenie jej zakresu i stosowania. Ustawodawca, jak słusznie zauważa organ, konkretyzuje wyłączenia stosowania przepisów w art. 6 RODO. Interpretacja przepisów w sposób przyjęty przez skarżącego, prowadziłaby do interpretacji ad absurdum, gdzie zastosowanie przepisów rozporządzenia 2016/679, ograniczone byłoby do bardzo wąskiego zakresu obowiązywania prawa Unii. Tymczasem wprowadzenie w.w. aktu prawnego, miało na celu zwiększenie, a nie drastyczne ograniczenie ochrony danych osobowych.

Ideą ustawodawstwa Unii Europejskiej jest (m.in.) ochrona danych osobowych; nadto, na gruncie prawa polskiego, dodatkową ochronę tym prawom przydaje Konstytucja RP. Zupełnie nielogiczne jest twierdzenie skarżącego, że mimo iż akty nadrzędne jak Konstytucja czy powszechnie obowiązujące zasady prawa Unii Europejskiej, zakładają szeroką ochronę danych osobowych, rozporządzenie zawęża ją jedynie do niezwykle wąskiego kręgu.

Zgodnie z art. 8 ust. 1 Karty Praw Podstawowych UE, każdy ma prawo do ochrony danych osobowych, które go dotyczą; w myśl art. 16 ust. 1 TFUE, każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Do tych właśnie praw podstawowych odwołuje się RODO w swoim w pierwszym motywie. Zasady i przepisy, dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą - niezależnie od obywatelstwa czy miejsca zamieszkania takich osób - naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych (motyw 2 RODO).

Jak trafnie zauważył organ, w doktrynie słusznie podnosi się, że norma wynikająca z art. 16 ust. 1 TFUE (oraz analogiczna z art. 8 Karty Praw Podstawowych UE), ma status normy bezpośrednio skutecznej, stając się autonomiczną podstawą uprawnień osób fizycznych w zakresie ochrony danych osobowych. Bezpośrednio skuteczna norma traktatowa chroni osoby fizyczne również w sytuacjach, kiedy nie będą one mogły korzystać z ochrony gwarantowanej przez akty prawa wtórnego. Treść art. 16 ust. 2 TFUE jednoznacznie wskazuje, że zasady ochrony danych osobowych określone w treści aktów prawa wtórnego będą miały zastosowanie w odniesieniu do danych osobowych osób fizycznych przetwarzanych przez instytucje, organy, jednostki organizacyjne Unii Europejskiej oraz państwa członkowskie, ale jedynie w zakresie, w jakim działania te będą służyć stosowaniu prawa Unii Europejskiej.

Odnosząc się do załączonej do skargi na decyzję opinii prawnej, Sąd wskazuje, że nie odnosi się ona do istoty sprawy a przez to nie miała znaczenia dla jej rozstrzygnięcia.

Odnosząc się do pozostałych zarzutów skargi, w pierwszej kolejności wskazać należy, że w przepisie art. 5 RODO, zostały sformułowane zasady przetwarzania danych osobowych, do których przestrzegania i wdrażania zobowiązany jest administrator danych osobowych. W stanie faktycznym sprawy administratorem danych osobowych, czyli osobą obowiązaną do przetwarzania danych osobowych zgodnie z prawem oraz wdrożenia procedur organizacyjno-technicznych przetwarzania tych danych, jest Burmistrz. Zasady określone w art. 5 RODO odgrywają istotną rolę wśród norm prawnych, regulujących ochronę danych osobowych.

Zasady wskazane w tym przepisie mają charakter samoistny i są wiążącymi normami prawnymi, określającymi konkretne normy postępowania w przedmiotowym zakresie. Oczywiście, mogą pełnić rolę subsydiarną w stosunku do innych przepisów, zwłaszcza przy ich interpretacji i stosowaniu norm prawnych o ochronie danych osobowych, jednak równie istotna jest ich funkcja jako norm nadrzędnych nad innymi przepisami. Ustawodawca podkreśla szczególne znaczenie, określając mianem zasad normy prawne występujące w art. 5 rozporządzenia 2016/679. Organ jest zobowiązany do przestrzegania zawartych w tym przepisie zasad, a wszelkie wyłączenia mają charakter absolutnie wyjątkowy.

W art. 5 ust. 2 omawianego rozporządzenia wskazano, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie, zasada ta określona została w rozporządzeniu mianem "rozliczalności". Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 RODO

W ocenie Sądu skarżący, jako administrator danych, na którym spoczywał ciężar dowodu nie wykazał, że przestrzega wszystkich zasad przetwarzania danych osobowych.

Sąd całkowicie podziela dokonana przez organ ocenę poszczególnych naruszeń przepisów prawa materialnego.

Naruszenie art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 RODO, tj. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 RODO nastąpiło poprzez udostępnianie danych osobowych na rzecz (...) Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: (...) S.A. z siedzibą w G. oraz (...) S.A. z siedzibą w K. bez podstawy prawnej. Skarżący nie zawarł uprzednio z ww. podmiotami umów powierzenia danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w A..

Określone w przepisach art. 5 ust. 1 lit. a) i f) rozporządzenia 2016/679, zasady określane są mianem a) zasady legalności, rzetelności i przejrzystości, f) integralności i poufności danych (zabezpieczenia danych). W art. 5 ust. 1 lit. a rozporządzenia 2016/679 określono wymogi, stawiane administratorowi danych osobowych, w zakresie ich przetwarzania. W sprawie niniejszej ten przepis bez wątpienia został naruszony. Zasada zgodności z prawem przetwarzania danych odnosi się do zgodności przetwarzania danych osobowych z przepisami prawa, zawartymi we wszelkich aktach normatywnych, dotyczących przetwarzania danych osobowych, w tym również przepisów RODO. Skarżący niewątpliwie naruszając przepis art. 28 ust. 3 niniejszego rozporządzenia, naruszył tym samym zasadę legalności.

W myśl przepisu art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Od administratora danych osobowych wymagane jest podjęcie proporcjonalnych środków celem zabezpieczenia danych.

Wymienione w tym przepisie "zagrożenia", przed którymi administrator musi się zabezpieczyć, mają charakter katalogu otwartego, na co wskazuje użyte w tym przepisie pojęcie "w tym". Obie w.w. zasady skarżący naruszył poprzez niezastosowanie się do przepisu art. 28 ust. 3 RODO. Przepis ten w sposób jednoznaczny wymaga, aby przetwarzanie przez podmiot przetwarzający dane na zlecenie administratora odbywało się na podstawie umowy lub innego instrumentu prawnego. Jak ustalił organ w postępowaniu dowodowym, w umowach jakie skarżący zawarł z podmiotami, które uczestniczyły w procesie przetwarzania danych osobowych, brak było postanowień dotyczących przetwarzania danych osobowych oraz powierzenia ich przetwarzania.

Z tej przyczyny nie zasługuje na uwzględnienie zarzut skargi, jakoby organ naruszył przepis prawa materialnego tj. art. 28 ust. 3 RODO poprzez jego niewłaściwe zastosowanie. Brak zawarcia przez skarżącego umów z podmiotami, które przetwarzały dane osobowe, których administratorem był skarżący, obciąża administratora danych osobowych, który mimo spoczywającego na nim obowiązku, nie przestrzegał przepisów o ochronie danych osobowych. Organ prawidłowo zatem ocenił tę sytuację pod kątem materialnoprawnym, przyjmując naruszenie art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 i art. 28 ust. 3 RODO.

Również prawidłowo organ ocenił naruszenie art. 5 ust. 1 lit. e) w związku z art. 5 ust. 2, tj. zasady ograniczenia przechowywania oraz art. 24 rozporządzenia 2016/679 poprzez brak odpowiednich polityk, dotyczących przetwarzania danych osobowych w BIP Urzędu Miejskiego w A. pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych. Zasada określona mianem "ograniczenia przechowywania", określona w art. 5 ust. 1 lit. 3 RODO stanowi, iż "dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane". Nadto "dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"). Zgodnie z tą zasadą, po osiągnięciu celów, w jakich przetwarzane są dane osobowe, powinny zostać one usunięte albo skasowane.

Zgodnie z przepisem art. 24 ust. 1 RODO "uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane".

Sąd podziela konstatację organu, że na administratorze danych osobowych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z prawem. Takie środki techniczne nie zostały wprowadzone, organ nie zapewnił w żaden sposób, aby wszystkie informacje, których cel przetwarzania został osiągnięty, zostały usunięte.

Zarzut stawiany w skardze do Sądu, dotyczący naruszenia prawa materialnego, tj. art. 5 ust. 1 lit. e w zw. z art. 5 ust. 2 oraz art. 24 rozporządzenia 2016/679 i art. 11b ust. 1 ustawy o samorządzie gminnym i art. 8 KPA, poprzez ich niewłaściwe zastosowania, sprowadza się właściwie do tego, że okres na jaki mają (mogą) być publikowane dane w Biuletynie Informacji Publicznej nie został określony, przez co zdaniem skarżącego istnieje luka prawna. Zarzut ten jest nietrafny: jak wskazano powyżej, pomimo, że nie ma wprost wskazanych okresów maksymalnych, po których upływie dane osobowe powinny zostać usunięte, z zasady ograniczenia przechowania wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator danych osobowych określa "niezbędny cel" przez wdrożenie odpowiedniej procedury, o której mowa w przepisie art. 24 ust. 1 RODO. Z uwagi na brak działań skarżącego w opisanym kierunku, Sąd nie dopatrzył się w niniejszej sprawie naruszenia przez organ przepisu art. 8 KPA

Również nietrafny okazał się zarzut naruszenia przepisu art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679 tj. zasady integralności i poufności, zasady prawidłowości, oraz art. 24 rozporządzenia 2016/679 (poprzez nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta A.).

W kontekście powołanych w poprzednim akapicie przepisów oraz treści stanu faktycznego niniejszego uzasadnienia podkreślić po raz kolejny należy, że to administrator danych osobowych zobligowany jest do przetwarzania ich w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Skarżący zarzuca naruszenie prawa materialnego tj. art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 i art. 24 rozporządzenia 2016/679, poprzez ich niewłaściwe zastosowanie, przez to, że nieprzeprowadzenie analizy ryzyka nie może świadczyć o tym, że administrator danych osobowych naruszył przepisy rozporządzenia, ponieważ przeprowadzenie takiej analizy jest fakultatywne i nie może świadczyć o tym, że nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Konieczność wprowadzenia takiej procedury, należy analizować pod kątem konkretnego przypadku w konkretnej sprawie: w niniejszym postępowaniu administrator danych nie wykazał, że brak przeprowadzenia analizy ryzyka jest zbędny, Sąd nie ma wątpliwości, że wdrożone procedury nie zapewniły w pełni bezpieczeństwa danych osobowych. W ocenie Sądu wdrożenie takiej analizy zminimalizowałoby ryzyko powstania uchybień w procesie przetwarzania danych osobowych, pod tym właśnie kątem należy rozpatrywać ewentualną konieczność tworzenia odpowiedniej procedury systemu bezpieczeństwa i ochrony danych osobowych.

Organ w zaskarżonej decyzji, zarzucił również skarżącemu naruszenie art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady integralności i poufności, oraz art. 32 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta A. wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w A.. Przepis art. 32 rozporządzenia 2016/679 nakłada kolejny obowiązek na administratora danych osobowych, mianowicie obowiązek zabezpieczenia przetwarzanych danych.

Przepis art. 32 ust. 1 lit. b i c rozporządzenia 2016/679 stanowi: "uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (...)

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego."

Przepis ten nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.

Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka. W ocenie Sądu, przekazanie danych osobowych podmiotowi zewnętrznemu, który transmituje posiedzenia organów w ogólnodostępnej sieci jaką jest internet, gdzie przetwarzane są dane osobowe, spowodowało naruszenie przepisów o ochronie danych osobowych, a środki, które należało podjąć, winny być proporcjonalne do wskazanego wysokiego ryzyka.

Trzeba podkreślić, że z chwilą zakończenia nagrania było ono zapisane jedynie na stronie YouTube, u skarżącego nie pozostawała żadna kopia zapasowa, zdaniem Sądu naruszono w sposób jednoznaczny i ewidentny przepisy art. 32 ust. 1 lit. b i c rozporządzenia 2016/679. Ewentualna awaria techniczna serwisu internetowego, może spowodować utratę nagrania i uniemożliwić administratorowi danych osobowych przywrócenie ich dostępności, w efekcie podmiot zobowiązany nie będzie mógł zapewnić poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Dlatego w ocenie Sądu organ w sposób prawidłowy i zgodny z obowiązującymi przepisami, wykazał naruszenie przez skarżącego przepisów znajdujących się w tym akapicie. Zupełni nietrafiony jest zarzut skarżącego, dotyczący naruszenie prawa materialnego tj. art. 5 ust. 1 pkt f w zw. z art. 5 ust. 2 i art. 32 rozporządzenia 2016/679. Jak już była o tym mowa, czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka czy charakteru chronionych danych osobowych. Bez wątpienia środki podejmowane przez skarżącego nie zapewniły bezpieczeństwa, co należycie wykazał organ, a podnoszona przez skarżącego argumentacja w tym przedmiocie stanowi jedynie polemikę ze stanem faktycznym, ustalonym w ocenie Sądu w sposób prawidłowy, przez organ.

Ostatnimi z przepisów, których prawidłowość zastosowania przez organ badał Sąd w przedmiotowej sprawie, są zarzucane w skardze naruszenia przepisów art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady rozliczalności oraz art. 30 ust. 1 lit. d) oraz f) rozporządzenia 2016/679 (poprzez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miasta w A., wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania). Zdaniem Sądu, organ prawidłowo zinterpretował przepisy ustawy o samorządzie gminnym oraz ustawy o dostępie do informacji publicznej, Sąd całkowicie podziela argumentację organu w tym zakresie, w związku z czym uznał za bezcelowe jej powielanie w tym miejscu.

Przepis art. 30 ust. 1 lit. d i f rozporządzenia 2016/679 stanowi, że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: (...) d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; (...) f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

Biorąc pod uwagę dyrektywy wykładni językowej, odpowiedzialność administratora prowadzącego rejestr czynności przetwarzania danych osobowych została określona wprost. Inne niż językowa sposoby wykładni mają zastosowanie tylko, gdy wykładnia językowa okaże się niewystarczająca lub nie prowadzi do prawidłowego dekodowania normy prawnej z przepisu.. Administrator danych osobowych, który nie wykaże w rejestrze czynności kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, oraz nie wskaże planowego terminu usunięcia poszczególnych kategorii danej (pod warunkiem, że jest to możliwe - a w niniejszej sprawie taka możliwość istniała), narusza bezpośrednio przepisy dotyczące ochrony danych osobowych, za których przestrzeganie jest odpowiedzialny. Każdy z obowiązków, wynikających z tego przepisu musi zostać zrealizowany: naruszeniem przepisu jest niewykonanie choćby jednego z obowiązków wskazanego przy prowadzeniu rejestru czynności przetwarzania danych osobowych. Z opisanej przyczyny nieuzasadniony jest również zarzut naruszenia przepisów prawa materialnego tj. art. 30 ust. 1 lit. d i f w zw. z art. 5 ust.. 1 lit. e w zw. z art. 5 ust. 2 rozporządzenia 2016/679.

Sąd ocenił, mając na uwadze charakter dokonanych naruszeń oraz ilość przepisów prawa materialnego w zakresie ochrony danych osobowych, których naruszenia dopuścił się skarżący, że kara pieniężna w wysokości 40 000 zł, jest karą adekwatną, proporcjonalną i nałożona została w sposób prawidłowy. Organ należycie uzasadnił wymiar kary, biorąc pod uwagę bardzo długi czas trwania naruszeń, umyślny ich charakter, wysoki stopień odpowiedzialności administratora oraz brak jego współpracy z organem po wszczęciu postępowania. Maksymalna kara za stwierdzone naruszenia wynosi 100 000 zł, na skarżącego nałożono tylko 40 % możliwej kary, co pozwala ocenić ją jako skuteczną, proporcjonalną i odstraszającą.

Mając na względzie powyższe rozważania, Sąd na podstawie art. 151 PostAdmU oddalił skargę

 

 

Naruszeniue Przepisów Rodo, Zabezpieczenie Danych Osobowych,
WYROK TSUE  z dnia 25 stycznia 2024 r. w sprawie C‑687/21
WYROK TSUE z dnia 25 stycznia 2024 r. w sprawie C‑687/21
Wyrok Naczelnego Sądu Administracyjnego z dnia 3 grudnia 2021 r.
Wyrok Naczelnego Sądu Administracyjnego z dnia 3 grudnia 2021 r.
Wyrok Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. III OSK 161/21
Wyrok Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. III OSK 161/21