Naczelny Sąd Administracyjny potwierdził, że przetwarzanie danych osobowych w ramach BIP podlega RODO.
Zarzuty Prezesa UODO, z którymi zgodził się NSA, a wcześniej WSA, dotyczyły tego, że administrator nie zawarł umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej Urzędu Miejskiego, a także z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i świadczył usługi serwisowe w tym zakresie. Brak takich umów narusza art. 28 ust. 3 RODO, zgodnie z którym administrator ma obowiązek zawarcia umowy powierzenia, gdy zleca wykonanie usług związanych z przetwarzaniem danych osobowych. Spór w przedmiotowej sprawie dotyczył kwestii tego, czy w takich okolicznościach RODO w ogóle ma zastosowanie. Wyrok NSA potwierdza, że wyjątki wyłączające stosowanie RODO muszą być interpretowane zawężająco i ograniczać się wyłącznie do tego, co niezbędne.
NSA potwierdził również, jak istotne jest posiadanie przez administratorów odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP, jak i określenie okresu, przez jaki będą przetwarzane dane w BIP.
NSA zgodził się z decyzją PUODO w aspekcie nieprawidłowości w związku z publikacją nagrań sesji rady miasta na kanale w YouTube. Administrator wybierając do zamieszczenia filmów z transmisją z posiedzeń rady wyłącznie kanał YouTube nie przeprowadził analizy ryzyka. W konsekwencji administrator nie miał pełnej kontroli nad danymi zawartymi w nagraniach. Analiza ryzyka mogła zaś pozwolić administratorowi upewnić się, czy dane z tego serwisu można odzyskać, czy w każdej sytuacji istnieje możliwość zrealizowania prawa osób do dostępu do danych, czy nie należy mieć kopii nagrań w innych miejscach, czy też jakie kategorie danych są w tym miejscu przetwarzane i zastosować odpowiednie środki ochrony, jak np. anonimizacja danych.
Z wyroku NSA wynikają dla administratorów bardzo istotne konsekwencje. W pierwszej kolejności, administratorzy powinni pamiętać o konieczności zawierania umów powierzenia przetwarzania danych, gdy usługi czy operacje przetwarzania danych realizowane są przez inny podmiot. Po drugie, bardzo istotne jest, by określić, jak długo dane będą przetwarzane do realizacji określonych celów szczególnie w sytuacji, gdy nie wynika to wprost z przepisów prawa. W sytuacji, gdy przepisy regulują tę kwestię, nie należy przetwarzać danych dłużej niż maksymalny okres wskazany w prawie.
Wreszcie, decyzja powinna uświadomić administratorom danych to, że oceniając procesy przetwarzania danych osobowych i przekazując informacje za pośrednictwem serwisów będących własnością innych administratorów, trzeba pamiętać o konieczności dokonania oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach, czyli przeprowadzenia wnikliwej analizy ryzyka. Przeprowadzenie takiej analizy ryzyka, jak i posiadania odpowiednich polityk związanych z procesami przetwarzania danych, pozwala administratorom realizować zasadę rozliczalności, określoną w RODO. Mogą oni wówczas łatwo wykazać, że przetwarzanie danych odbywa się zgodnie z prawem, zasadą celowości, zasadą ograniczenia czasu przetwarzania i zasadą poufności oraz integralności danych.
Źródło: UODO
