Dnia 30.10.2019 r. na stronie UODO pojawił się komunikat informujący o nałożeniu na podmiot publiczny przez Prezesa UODO pierwszej kary w wysokości 40 000 zł. Naruszenie dotyczyło przede wszystkim niezawarcia umowy o powierzenie przetwarzania danych osobowych.

Pierwsza kara dla podmiotu publicznego

Jak dotąd Prezes nałożył już kary na podmioty prywatne, którym zarzucił naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119/1; dalej: RODO). Jedna z ostatnich kar wyniosła nawet 2,8 mln zł. Tym razem ukarano po raz pierwszy podmiot publiczny, czyli jednostkę samorządu terytorialnego.

W komunikacie czytamy, że jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. W omawianym przypadku umowy powierzenia nie zawarto z firmą, na której serwerach znalazły się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z inną firmą, która dostarczała oprogramowania do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.

Prezes UODO stwierdził więc naruszenie art. 28 ust. 3 RODO, który zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Jak wynika z art. 28 ust. 3 RODO, umowa taka wiąże podmiot przetwarzający i administratora, a także określa:

1) przedmiot i czas trwania przetwarzania;

2) charakter i cel przetwarzania;

3) rodzaj danych osobowych;

4) kategorie osób, których dane dotyczą;

5) obowiązki i prawa administratora.

Trzeba tu przypomnieć główną zasadę określoną w art. 28 ust. 1 RODO, z której wynika, że w przypadku gdy przetwarzanie danych osobowych ma się odbywać w imieniu administratora, to powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie musi bowiem spełniać wymogi RODO i chronić prawa osób, których dane dotyczą.

Przy czym, jak wynika z motywu 81 RODO: „Administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien – zgodnie z decyzją administratora – zwrócić lub usunąć dane osobowe, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania danych osobowych”.

Ważne W omawianym przypadku, nie zawierając takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, naruszając zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Wspomniane tu zasady stanowią, że dane osobowe muszą być przetwarzane:

1) zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – chodzi więc o zgodność z prawem, rzetelność i przejrzystość;

2) w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – chodzi o integralność i poufność.

W odniesieniu do tych zasad, z motywu 39 RODO wynika m.in., że wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.

Ważne Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

Osobom fizycznym należy też uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Jeśli chodzi o zasadę określoną w RODO jako zasada integralności i poufności, to w związku z tym, że chodzi tu o bezpieczeństwo danych osobowych – w tym o ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – należałoby mówić raczej o zasadzie bezpieczeństwa i poufności. Konkretne zapisy dotyczące tej zasady wskazuje art. 32 ust. 1 RODO, zgodnie z którym, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:

1) pseudonimizację i szyfrowanie danych osobowych;

2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Naruszenie zasady ograniczonego przechowywania

Z komunikatu wynika też, że w toku postępowania kontrolnego prowadzonego przez Prezesa UODO ustalono, że nie było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. Skutkiem tego, np. w BIP były dostępne m.in. oświadczenia majątkowe z 2010 r., a z przepisów sektorowych wynika, że okres ich przechowywania wynosi 6 lat. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator po­winien sam go ustalić, adekwatnie do celów, w jakich je przetwarza.

Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO. Stanowi ona, że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Ważne Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

Niepublikowanie nagrań posiedzeń rady to naruszenie zasady rozliczalności

Kolejne uchybienie dotyczyło publikacji nagrań. W czasie postępowania ustalono bowiem, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Urząd miejski nie dysponował więc kopiami zapasowymi tych nagrań, co w razie utraty danych zapisanych w tym serwisie spowodowałoby, że administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono też analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc, poza wspomnianą wyżej zasadą integralności i poufności, do naruszenia zasady rozliczalności (art. 5 ust. 2 RODO). Administrator jest odpowiedzialny za przestrzeganie przepisów zasad wymienionych w art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie.

Zasadę rozliczalności naruszono też w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Karę określa ustawa o ochronie danych osobowych

Jak wynika z art. 102 ust. 1 pkt 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.), Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł, na jednostki sektora finansów publicznych, w tym m.in. na jednostki samorządu terytorialnego i ich związki.

W tym przypadku kara wyniosła 40% tego limitu, czyli 40 000 zł. Prezes UODO, nakładając tę karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, administrator ich nie usunął, ani nie wdrożył rozwiązań, które mogłyby przeciwdziałać naruszeniom w przyszłości. Administrator danych nie współpracował również z organem nadzoru. W konsekwencji Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes UODO nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Sławomir Liżewski - specjalista w zakresie prawa administracyjnego i prawa gospodarczego

Źródło: uodo.gov.pl/pl/138/1240

Podstawa prawna

• art. 5 ust. 1 i 2, art. 28 ust. 1 i 3, art. 32 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119/1)
• art. 102 ust. 1 pkt 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.)