Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 40 tys. zł na Burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia z firmą zajmującą się obsługą Biuletynu Informacji Publicznej.
Wojewódzki Sąd Administracyjny w Warszawie w dniu 26 sierpnia 2020 r. oddalił skargę Burmistrza Aleksandrowa Kujawskiego na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia z 18 października 2019 r. nr ZSPU.421.3.2019 w sprawie przetwarzania danych osobowych.
To drugi wyrok sądu administracyjnego w sprawie nałożenia na podmiot publiczny przez PUODO kary pieniężnej za naruszenie RODO.
Wyrok sądu pierwszej instancji jest nieprawomocny i przysługuje od niego możliwość wniesienia skargi kasacyjnej.
WSA oddalił skargę
Jak wynika z relacji zamieszczonej w dzienniku Gazecie Prawnej Sąd w ustnych motywach rozstrzygnięcia podtrzymał stanowisko Prezesa UODO odnośnie obowiązku zawarcia przez podmiot publiczny umowy powierzenia przetwarzania danych osobowych z firmami obsługującymi miejski Biuletyn Informacji Publicznej (BIP). Ponadto Sąd podzielił pogląd Urzędu Ochrony Danych Osobowych, że w sprawie publikacji danych w Biuletynie Informacji Publicznej (BIP) zastosowanie znajdują przepisy RODO.
Pierwsza kara pieniężna Prezesa UODO nałożona na podmiot publiczny
Na początku 2019 r. Urząd Ochrony Danych Osobowych przeprowadził u Burmistrza Aleksandrowa Kujawskiego kontrolę zgodności przetwarzania danych osobowych wykonywaną w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych. Po przeprowadzeniu postępowania kontrolnego, Prezes UODO nałożył na Burmistrza Aleksandrowa Kujawskiego karę o wartości 40 000 zł. Powodem nałożenia pierwszej w Polsce kary na organ publiczny było, przede wszystkim, stwierdzenie przez kontrolujących z ramienia UODO szeregu naruszeń przepisów RODO m.in. art. 5 i 28. Najpoważniejsze z nich dotyczyło braku umowy powierzenia przetwarzania danych osobowych z firmami obsługującymi miejski Biuletyn Informacji Publicznej od strony technicznej. W konsekwencji dane osobowe zostały udostępnione podmiotom zewnętrznym bez podstawy prawnej.
Kontrolujący z ramienia UODO ustalili również, że instytucja publiczna nie posiadała procedur wewnętrznych dotyczących retencji danych przechowywanych w Biuletynie. Organ nadzorczy zarzucił, że w efekcie, w miejskim Biuletynie Informacji Publicznej, wciąż były dostępne oświadczenia majątkowe z 2010 r. podczas, gdy okres ich przechowywania wynosi 6 lat.
W trakcie kontroli dostrzeżono również, że zarejestrowane nagrania pochodzące z posiedzeń rady miejskiej, przechowywano jedynie na dedykowanym kanale Serwisu YouTube. W urzędzie nie pozostawały żadne kopie zapasowe. W przypadku utraty danych, administrator nie dysponowałby więc kopiami nagrań. Ponadto, stwierdzono także braki w zakresie prowadzenia rejestru czynności przetwarzania danych osobowych.
W ocenie PUODO zastosowana kara pieniężna w wysokości 40 tys. zł , co stanowi 40% maksymalnej dopuszczalnej kary – była proporcjonalna do stwierdzonego naruszenia. Złożyły się na nią takie czynniki, jak: waga naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, brak realizacji obowiązków administratora wynikających z ogólnego rozporządzenia o ochronie danych i czas trwania naruszenia (naruszenia objęte nakazem nie zostały usunięte w toku kontroli).
Jakie kroki powinny podjąć podmioty publiczne prowadzące Biuletyn Informacji Publicznej?
Burmistrz Aleksandrowa Kujawskiego jest pierwszym, ale na pewno nie ostatnim, podmiotem publicznym, który niekorzystną decyzję UODO podda kontroli sądowoadministracyjnej. Pierwsza kara nałożona na podmiot publiczny jest wysoka i została podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie. Pozostało czekać na pisemne uzasadnienie wyroku, gdzie znajdzie się cała argumentacja prawna sądu i decyzja stron postępowania o kontynuowaniu sporu już przed Naczelnym Sądem Administracyjnym.
Jeżeli wyrok WSA w Warszawie uprawomocni się lub zostanie podtrzymany przez Naczelny Sąd Administracyjny, to, w naszej opinii, instytucje publiczne (np. urzędy, uczelnie czy instytucje kulturalne) korzystające z usług zewnętrznych firm powinny:
• sprawdzić, czy współpracują z zewnętrznymi podmiotami oferującymi usługi dla BIP,
• zadbać o przekazywanie danych osobowych podmiotom zewnętrznym na podstawie umowy powierzenia zgodnej z wymogami RODO.
Sławomir Wikariak „Dostęp do informacji publicznej podlega pod RODO” artykuł prasowy dostępny w: internetowym wydaniu Gazety Prawnej z dnia 27.08.2020 r. dostępny pod linkiem: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1489386,rodo-bip-dostep-do-informacji-publicznej.html
Więcej o wyroku WSA w Warszawie z dnia 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 w Centralnej Bazie Orzeczeń Sądów Administracyjnych pod linkiem: http://orzeczenia.nsa.gov.pl/doc/1156394101
Więcej o komunikacie Prezesa UODO w sprawie wyroku WSA w Warszawie z dnia 26 sierpnia 2020 r. pod linkiem: https://uodo.gov.pl/pl/138/1644
Więcej o decyzji Prezesa UODO o nałożeniu kary w komunikacie dostępnym pod linkiem: https://uodo.gov.pl/pl/138/1240