Kara została nałożona na burmistrza Aleksandrowa Kujawskiego za przekazanie danych osobowych podmiotowi zewnętrznemu bez umowy powierzenia, a także za naruszenie dopuszczalnego okresu przechowywania - m.in. oświadczeń majątkowych. Eksperci nie mają wątpliwości, że pierwsza kara nałożona na podmiot publiczny jest wysoka. Wątpliwości budzi zaś okres publikacji danych.

40 proc. maksymalnej kary dla instytucji publicznych

Prezes UODO, nakładając karę, wziął pod uwagę fakt, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary. 
Oprócz kary pieniężnej, prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni. - Sama kara jest wysoka - ocenia Paweł Litwiński. - To 40 proc. maksymalnej stawki w sektorze publicznym - podkreśla mec. Litwiński. Zgodnie bowiem z art. 102 ustawy o ochronie danych osobowych prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski - maksymalnie 100 tys. złotych kary.

W przypadku przedsiębiorców maksymalna kara może wynieść 20 mln euro lub do 4 proc. rocznych obrotów. Nałożone do tej pory kary w Polsce wyniosły blisko 3 mln zł dla moerele.net, 1 mln zł dla Bisnode - to w ogóle była pierwsza kara oraz 56 tys. złotych dla związku sportowego.

Dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych, również uważa, że nałożona kara jest wysoka. Zwraca jednak uwagę, że równie ważne są naruszenia wskazane przez UODO.

Brak umowy powierzenia z dostawcą serwerów

Kara została nałożona za brak umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z innym przedsiębiorstwem, które dostarczało oprogramowanie do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy - burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).  - Decyzja prezesa UODO to jest bardzo ważny sygnał dla wszystkich, którzy korzystają z zewnętrznych usług dotyczących BIP, ale nie tylko - ocenia dr Marlena Sakowska-Baryła. - Podobny problem może dotyczyć też rozwiązań dostarczanych z zewnątrz na potrzeby serwisów informacyjnych miast, urzędów, instytucji publicznych. Warto sprawdzić, czy instytucja publiczna ma podpisane z nimi umowy powierzenia odpowiadające wymogom RODO - podkreśla mec. Sakowska-Baryła. 

Paweł Litwiński potwierdza, że wskazane naruszenia przepisów o ochronie danych osobowych, oczywiście jeżeli rzeczywiście miały miejsce, należy oceniać jako poważne, zwłaszcza przekazanie danych osobowych podmiotowi zewnętrznemu bez umowy powierzenia.

Dr Maciej Kawecki, adwokat i dziekan warszawskiej Wyższej Szkoły Bankowej, współtwórca ustawy o ochronie danych osobowych, zauważa, że brak umowy jest naruszeniem, ale w tym przypadku nie doszło, np. do wycieku danych od podwykonawcy. - Nie zrealizowano wymogu formalistycznego jakim jest brak umowy powierzenia, co narusza przepisy RODO, ale nie wpływa na prawa i wolności innych - tłumaczy mec. Kawecki. Stąd jego zdaniem kara jest za wysoka.

Prawo do informacji publicznej. Informacje niejawne. Ochrona danych osobowych ebook

Monika Nowikowska

Sprawdź  

Oświadczenia majątkowe nie mogą wiecznie wisieć w BIP

To jednak nie jedyne naruszenie. W toku postępowania UODO ustalił także, że brakowało procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO. Co do tego naruszenia Paweł Litwiński ma jednak wątpliwości. - Znowu bowiem mamy do czynienia z ingerencją prezesa UODO w przetwarzanie danych osobowych w związku z dostępem do informacji publicznej - tłumaczy mec. Litwiński. - Tej kwestii dotyka też bowiem problem związany z listami poparcia do KRS. Tymczasem coraz więcej głosów wskazuje na to, że przetwarzanie danych osobowych w związku z dostępem do informacji publicznej nie jest objęte zakresem stosowania RODO. Tym większe znaczenie będzie więc miał ewentualny wyrok sądu administracyjnego, o ile ukarana gmina wniesie skargę - podkreśla Paweł Litwiński. Dr Maciej Kawecki zauważa jednak, że w tej sprawie oświadczenia majątkowe były udostępniane zbyt długo, a więc naruszono okres przechowywania danych i przewidzianą w RODO zasadę minimalizmu. - Mówi ona o tym, że dane gromadzimy w zakresie niezbędnym do realizacji celu. Gdy ten po upływie okresu retencji ustał, administrator zobowiązany był usunąć oświadczenia ze strony internetowej. Nie zrobił tego i za to doszło do nałożenia kary, a nie za brak procedur - uważa dr Maciej Kawecki.

Brakuje precyzyjnych przepisów

Dr Marlena Sakowska-Baryła zwraca uwagę na jeszcze inny problem. - Obecnie przepisy nie określają precyzyjnie, jak długo dane informacje powinny być publikowane w BIP. Zakres podawanych treści i czas musi być zgodny z RODO, ale nie do końca oczywiste jest, co jest celem przetwarzania - a zgodnie z RODO, gdy go osiągniemy, dane musimy usunąć. Tu nie wiadomo, czy cele publikacji oświadczenia w BIP i złożenia go przed określonym organem są tożsame. W efekcie trudno określić, jak długo powinny wisieć w BIP. Przepisy stanowią tylko, jak długo przechowujemy papierowe oświadczenie, ale w tym wypadku chodzi o jego weryfikacje. Celem publikacji w BIP jest zaś przede wszystkim realizuja zasady jawności życia publicznego. I w tej sytuacji pojawia się wątpliwość, jak długo powinna trwać publiakcja, czy sześć lat, czy dłużej. By jej nie było, przepisy powinny to wyraźnie określać - tłumaczy dr Marlena Sakowska-Baryła.

Obecnie przez prawną niepewność urzędnicy zastanawiają się, co im się bardziej opłaca: czy ograniczenie informacji w BIP i co za tym idzie ograniczenie jawności życia publicznego, czy też transparentne działanie, które jednak naraża na karę. Mec. Sakowska-Baryła dodaje, że problem dotyczy nie tylko oświadczeń majątkowych, ale także innych danych. W efekcie od interpretacji przepisów przez samorządy zależy, jak długo pewne informacje są publicznie dostępne. Może się zdarzyć, że w jednej gminie taka sama kategoria infromacji będzie jawna krócej, a w innej - dłużej. 

Nagrania z sesji rady nie mogą być tylko na YouTube

Ponadto w czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2). Według UODO zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.