top of page

#OpinieEkspertów - Biuletyn Informacji Publicznej, a Umowa Powierzenia

Zapraszamy na nasz nowy cykl #OpinieEkspertów, w którym raz na 2 tygodnie będziemy publikować nasze opinie dotyczące decyzji Prezesa UODO i wyroków sądów w obszarze bezpieczeństwa danych. 



Czy pamiętacie sprawę dotyczącą kary nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na Burmistrza Aleksandrowa Kujawskiego?


W telegraficznym skrócie: Burmistrz nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotem zewnętrznym, na którego serwerach „postawiony” był Biuletyn Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim, umowy nie zawarto także z podmiotem, który dostarczał oprogramowanie do stworzenia serwisu BIP i świadczył usługi serwisowe w tym zakresie. W związku z tym PUODO decyzją z dnia 18 października 2019 roku (ZSPU.421.3.2019) nałożył na Burmistrza karę w wysokości 40 tys. zł.


Na skutek skargi Burmistrza, Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 26 sierpnia 2020 r. (sygn. akt II SA/Wa 2826/19) utrzymał nałożoną karę. Burmistrz nie zgadzając się z argumentacją WSA w W-wie wniósł do Naczelnego Sądu Administracyjnego skargę kasacyjną. NSA wyrokiem z dnia 28 lutego 2024 roku (sygn. akt II OSK 3839/21) podtrzymał decyzję PUODO o nałożonej karze.


Najważniejsze wnioski płynące z wyroku NSA:


- administratorzy powinni zawsze pamiętać, iż jeżeli dochodzi do powierzenia przetwarzania danych osobowych innemu podmiotowi, należy zawrzeć z nim umowę powierzenia;


- retencja danych – administratorzy nie mogą przetwarzać danych osobowych dłużej niż wynika to z przepisów prawa – NSA potwierdził naruszenie w zakresie niewłaściwego okresu przechowywania danych osobowych w postaci oświadczeń majątkowych;


- analiza ryzyka – powinna być obligatoryjnie przeprowadzana w sytuacji przekazywania informacji za pośrednictwem serwisów będących własnością innych administratorów (np. publikacja nagrań sesji rady miasta na kanale YouTube).


Jeszcze jedna, zasadnicza kwestia, której również dotyczył spór Burmistrza z PUODO, a która wynika z uzasadnienia wyroku NSA to ta, iż do przetwarzania danych osobowych w ramach BIP regulacje RODO jak najbardziej znajdują zastosowanie.


Dlatego jednostki samorządu terytorialnego będące administratorami danych osobowych nie powinny brać przykładu z Burmistrza Aleksandrowa Kujawskiego i kiedy to konieczne powinny zawierać umowy powierzenia przetwarzania danych i prowadzić BIP zgodnie z przepisami prawa.



Krzysztof Winiarski – radca prawny


20 wyświetleń0 komentarzy

Commenti


bottom of page