Przykład Aleksandrowa Kuj. jest najbardziej dobitnym dowodem, że w Gminach – koniecznością jest działać lege artis, warto posiadać konsulting na – wysokim poziomie.

Poniżej dossier formalne w przedmiotowej sprawie. Warto poświęcić trochę czasu aby wszystko było lege artis. Dla przypomnienia – Burmistrz Miasta zobowiązany wyrokiem NSA (II OSK 3839/21)  zapłacił łącznie prawie 100 tys. pln (grzywny, koszty sądowe, koszty prawników, etc). Środki wydane na grzywnę do UODO pozostają w rękach Skarbu Państwa – natomiast pieniądze wydane na Prawników – nieudaczników – źle doradzających Burmistrzowi – zostały zmarnotrawione.
A wszystko z pieniędzy Podatników – Poniżej opisujemy lakonicznie ogólny zarys rzeczonego sporu – w wielu innych Gminach sytuacja jest per analogiam albo nawet gorsza. Wystarczy zapytać jak wygląda dossier formalne w zakresie BIP’ów Gmin – utrzymywanych przez wszystkie Firmy Komercyjne. Jedynie Bezpłatne BIPy rządowe – są bezpieczne i z dobrym zapleczem dokumentacji. Zatem po co tak ryzykować ? Jak wynika z udzielanych nam odpowiedzi w innych obszarach jest jeszcze gorzej. Natomiast versus w Gminie wiejskiej Aleksandrów Kuj. – jest dzięku sanacji w trybie 241 KP – „o niebo” lepiej.

Też jesteśmy zdania, że nastąpił przerost sfery przepisów i de facto utrudnia to wszystkim życie (szczególnie przepisy asymilowane z UE – to sfera ad absurdum)
Jednakże ktoś, kto wie jak niska jest jakość obsługi prawnej w Gminach – a wynika to z udzielnych nam odpowiedzi – wręcz nie może w to uwierzyć … sic! że mając takich prawników – ktoś jeszcze podejmuje ryzyko.
Tymczasem są bezpłatne rozwiązania proponowane przez rząd SDDIP – po co zatem utrzymywać BIP w firmach komercyjnych ? i na YOUTUBE – publikować sesje Rad Gmin ? Patrząc na te BIPy i publikacje sesji Rad Gminy na YOUTUBE – mamy wrażenie, że nawet Susane Wójcicki – przewraca się w grobie….(notabene jak Osoba o korzeniach polskich spotykała się często z Premierem Morawieckim i Prezydentem Dudą, a jej nazwisko znajduje się w centralnym elemencie Darczyńców w Museum POLIN. )

ŹRÓDŁO: https://uodo.gov.pl

[AKTUALIZACJA] NSA potwierdził, że przetwarzanie danych osobowych w ramach BIP podlega RODO

Burmistrz Aleksandrowa Kujawskiego musi zapłacić karę nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Naczelny Sąd Administracyjny 28 lutego 2024 r. w sprawie o sygn. akt. II OSK 3839/21 oddalił skargę kasacyjną Burmistrza Aleksandrowa Kujawskiego i tym samym podtrzymał decyzję Prezesa UODO z 2019 roku o karze w wysokości 40 tys. zł nałożonej w 2019 r. za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych.

NSA oddalając skargę podtrzymał argumenty podnoszone przez Prezesa UODO i zgodził się z wcześniejszym wyrokiem WSA w Warszawie o sygn. akt. II SA/Wa 2826/19 z 26 sierpnia 2020 r.

Zarzuty Prezesa UODO, z którymi zgodził się NSA, a wcześniej WSA, dotyczyły m.in. tego, że administrator nie zawarł umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i świadczył usługi serwisowe w tym zakresie. Brak takich umów narusza art. 28 ust. 3 RODO, zgodnie z którym administrator ma obowiązek zawarcia umowy powierzenia, gdy zleca wykonanie usług związanych z przetwarzaniem danych osobowych. Spór z burmistrzem Aleksandrowa dotyczył m.in. kwestii tego, czy w takich okolicznościach RODO w ogóle ma zastosowanie. Wyrok NSA potwierdza, że wyjątki wyłączające stosowanie RODO muszą być interpretowane zawężająco i ograniczać się wyłącznie do tego, co niezbędne.

NSA potwierdził również, jak istotne jest posiadanie przez administratorów odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP, jak i określenie okresu, przez jaki będą przetwarzane dane w BIP.

NSA zgodził się z decyzją PUODO w aspekcie nieprawidłowości w związku z publikacją nagrań sesji rady miasta na kanale w YouTube. Administrator wybierając do zamieszczenia filmów z transmisją z posiedzeń rady wyłącznie kanał YouTube nie przeprowadził analizy ryzyka. W konsekwencji administrator nie miał pełnej kontroli nad danymi zawartymi w nagraniach. Analiza ryzyka mogła zaś pozwolić administratorowi upewnić się, czy dane z tego serwisu można odzyskać, czy w każdej sytuacji istnieje możliwość zrealizowania prawa osób do dostępu do danych, czy nie należy mieć kopii nagrań w innych miejscach, czy też jakie kategorie danych są w tym miejscu przetwarzane i zastosować odpowiednie środki ochrony, jak np. anonimizacja danych.

Z wyroku NSA wynikają dla administratorów bardzo istotne konsekwencje.

  • W pierwszej kolejności,  administratorzy powinni pamiętać o konieczności zawierania umów powierzenia przetwarzania danych, gdy usługi czy operacje przetwarzania danych realizowane są przez inny podmiot.
  • Po drugie, bardzo istotne jest, by określić, jak długo dane będą przetwarzane do realizacji określonych celów szczególnie w sytuacji, gdy nie wynika to wprost z przepisów prawa. W sytuacji, gdy przepisy regulują tę kwestię, nie należy przetwarzać danych dłużej niż maksymalny okres wskazany w prawie.
  • Wreszcie, decyzja powinna uświadomić administratorom danych to, że oceniając procesy przetwarzania danych osobowych i przekazując informacje za pośrednictwem serwisów będących własnością innych administratorów, trzeba pamiętać o konieczności dokonania oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach, czyli przeprowadzenia wnikliwej analizy ryzyka.

Przeprowadzenie takiej analizy ryzyka, jak i posiadania odpowiednich polityk związanych z procesami przetwarzania danych, pozwala administratorom realizować zasadę rozliczalności, określoną w RODO. Mogą oni wówczas łatwo wykazać, że przetwarzanie danych odbywa się zgodnie z prawem, zasadą celowości, zasadą ograniczenia czasu przetwarzania i zasadą poufności oraz integralności danych.

Uzasadnienie wyroku

Stanowisko to znajduje potwierdzenie w pisemnym uzasadnieniu wyroku przekazanym przez NSA 12 marca 2024 r (Sygn. akt III OSK 3839/21). Sąd podziela w nim argumentację PUODO oraz WSA w Warszawie.

NSA wskazuje w nim, że prawo do ochrony danych osobowych jest prawem podstawowym, którego ochronę gwarantuje prawo pierwotne Unii Europejskiej – Karta Praw Podstawowych UE oraz Traktat o funkcjonowaniu Unii Europejskiej. Do tego prawa odwołuje się RODO. Intencją ustawodawcy nie było zawężenie zakresu ochrony danych osobowych, lecz wręcz przeciwnie – zwiększenie zakresu jej stosowania. Dlatego:

  • RODO ma – wbrew twierdzeniom Burmistrza – zastosowanie do danych osobowych przetwarzanych w BIP. RODO przewiduje wyłączenia, ale dotyczą one bezpieczeństwa narodowego. Podobnie stanowi ustawa o ochronie danych osobowych (z 10 maja 2018 r. Dz.U. z 2019 r., poz. 1781 art. 6). Tego rodzaju wyłączenia nie mają miejsca w niniejszej sprawie.
  • To, że system BIP został zorganizowany w województwie kujawsko-pomorskim przez samorząd województwa, nie zmienia faktu, że to Burmistrz jest administratorem danych na swoim BIP. Z tego powodu ciążą na nim obowiązki wynikające z RODO. Wynika to z art. 9 ust. 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej. W pojęciu „organów władzy publicznej”, o których mowa w art. 4 ust. 1 pkt 1 tej ustawy mieszczą się organy jednostek samorządu terytorialnego.
  • Kara ustalona przez Prezesa UODO jest zasadna i ustalona w sposób proporcjonalny. Ustalenia faktyczne Prezesa UODO nie dają się zakwestionować. Zastosował on tez właściwe przepisy prawa materialnego.

Sygnatura akt: II OSK 3839/21

Bądź pierwszy, który skomentuje ten wpis

Dodaj komentarz

Twój adres email nie zostanie opublikowany.


*