Gdy administrator danych osobowych zleca obsługę strony BIP, wówczas musi zawrzeć umowę powierzenia przetwarzania danych. Dotyczy to również podmiotu z sektora publicznego, czego dowodzi niedawny wyrok Naczelnego Sądu Administracyjnego wydany w sprawie Burmistrza Miasta Aleksandrowa Kujawskiego.
Sprawa Burmistrza Miasta Aleksandrowa Kujawskiego była jedną z pierwszych rozpatrywanych przez Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania stwierdzono naruszenie RODO w postaci niezawarcia umowy powierzenia przetwarzania danych z podmiotami obsługującymi stronę BIP jednostki samorządu terytorialnego. Wytknięto także brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP – w kontekście okresu ich publikacji. To oznaczało, że administrator stosował zbyt długi okres przechowywania danych.
Od decyzji Prezesa UODO, w której wymierzono karę pieniężną w wysokości 40 tys. zł Burmistrz złożył skargę do Wojewódzkiego Sądu Administracyjnego. Ten jednak skargę oddalił, w związku z czym sprawa trafiła do Naczelnego Sądu Administracyjnego (wyrok z dnia 26 sierpnia 2020 r. II SA/Wa 2826/19).
NSA również oddalił skargę Burmistrza, podtrzymując stanowisko przedstawione przez organ nadzorczy. W ocenie sądu w przedstawionej sytuacji doszło do naruszenia art. 28 ust. 3 RODO. Burmistrz zlecił bowiem zewnętrznemu podmiotowi realizację usługi związanej z przetwarzaniem danych osobowych (administrowanie stroną BIP), a mimo tego nie zawarł umowy powierzenia przetwarzania danych.
Administrator (także z sektora publicznego) musi zawrzeć umowę powierzenia przetwarzania danych, gdy zleca realizację usługi a więc także operacji przetwarzania danych innemu podmiotowi.
Sąd potwierdził też naruszenie w zakresie określenia niewłaściwego okresu przechowywania danych osobowych (w zakresie oświadczeń majątkowych).
Administrator musi sprecyzować okres przechowywania danych, biorąc pod uwagę konieczność realizacji określonych celów przetwarzania. Gdy zaś okres przechowywania wynika z przepisów, wówczas nie należy go przekraczać.
Do tego sąd wskazał na nieprzeprowadzenie analizy ryzyka przed rozpoczęciem przetwarzania danych polegającego na publikacji transmisji z posiedzeń rady gminy w serwisie YouTube. W konsekwencji administrator nie posiadał pełnej kontroli nad tymi danymi np. na wypadek utraty dostępu do nagrań.
Publikując dane osobowe np. w serwisie streamingowym, nie można zapominać o uprzedniej analizie ryzyka RODO.
wyrok Naczelnego Sądu Administracyjnego z dnia 28 lutego 2024 r. II OSK 3839/21
Uodo.gov.pl
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
