BIP, YT i RODO

Czy przepisy o udostępnianiu informacji publicznej, a zwłaszcza prowadzeniu przez zobowiązane podmioty strony internetowej BIP, mogą ograniczać stosowanie przepisów o ochronie danych osobowych? Czy samorząd, który ma ustawowy obowiązek transmitować i utrwalać przebieg obrad rady gminy, może czynić to w serwisie YouTube? Czy jednak działania takie mogą oznaczać ryzyko z punktu widzenia przepisów RODO? (nieprawomocny wyrok WSA w Warszawie z 26 sierpnia 2020 r., II SA/Wa 2826/19).


BIP YouTube RODO

Prowadzenie BIP na YouTube może naruszać RODO (czy takie hasełko jest dostatecznie przestraszające, żeby niniejsze „Czasopismo” rosło w siłę, a ludzie żyli dostatniej?)


Orzeczenie dotyczyło skargi burmistrza Aleksandrowa Kujawskiego na decyzję PUODO, w której stwierdzono szereg uchybień związanych z wykonaniem przez urząd miasta obowiązków w zakresie dostępu do informacji publicznej oraz prowadzenia Biuletynu Informacji Publicznej. Zarzuty obejmowały m.in.:

  • brak umowy o powierzenie przetwarzania danych osobowych z podmiotami, którym zlecono prowadzenie strony internetowej BIP oraz świadczenie informatycznych usług serwisowych (art. 28 RODO);
  • brak wdrożenia zasad usuwania, po określonym terminie, danych osobowych udostępnianych w BIP — zdaniem PUODO fakt, że przepisy o dostępie do informacji publicznej nie precyzują okresów udostępniania informacji nie oznacza, że zawarte w nich dane osobowe można przetwarzać bezterminowo;
  • nieprawidłowe prowadzenie rejestru czynności przetwarzania w odniesieniu do strony internetowej BIP (art. 30 RODO);
  • a ponieważ obrady rady miasta były transmitowane i przechowywane w YouTube — brak analizy ryzyka wdrożenia środków niezbędnych dla zabezpieczenia danych osób fizycznych — tu oczywiście poszło o to, że korzystanie z zewnętrznego, należącego do „Google LLC (z siedzibą w USA)” serwisu internetowego wiąże się z ryzykiem wynikającym z tego, że zasady przetwarzania i ochrony danych osobowych określa usługodawca, ale też dopatrzono się uchybienia w tym, że nie było innej kopii zapasowej nagrań.
art. 20 ust. 1b ustawy o samorządzie gminnym
Obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty.

Oceniając, iż zaniedbania prowadziły do licznych naruszeń podstawowych zasad RODO — zasady zgodności z prawem, ograniczenia przechowywania, integralności i poufności, oraz rozliczalności przetwarzania, a także art. 28 RODO i art. 30 RODO — PUODO nakazał burmistrzowi dostosowanie sposobów przetwarzania danych osobowych do przepisów rozporządzenia, a także nałożył karę pieniężną w wysokości 40 tys. złotych (decyzja PUODO z 18 października 2019 r., ZSPU.421.3.2019).

art. 5 rozporządzenia 2016/679 o ochronie danych osobowych
Zasady dotyczące przetwarzania danych osobowych
1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Odnosząc się do skargi Wojewódzki Sąd Administracyjny stwierdził, iż burmistrz jako administrator danych osobowych naruszył określone obowiązki w zakresie ich przetwarzania, zaś przedstawione argumenty nie zasługują na uwzględnienie.
Mianowicie:

  • zarzut braku zastosowania RODO do materii nieobjętej zakresem prawa Unii Europejskiej (art. 2 ust. 2 RODO) jest sprzeczny z wykładnią systemową i celowościową — taka wykładnia ma charakter interpretacji ad absurdum, ponieważ prowadziłaby do pozbawienia jednostek ochrony ich prywatności. Prawo do ochrony danych osobowych wynika zarówno z najwyższych aktów prawa unijnego (art. 8 ust. 1 Karty Praw Podstawowych EU, art. 16 ust. 1 TFUE, które mają bezpośrednie zastosowanie), jak i Konstytucji RP, zatem nie do przyjęcia jest pogląd, iżby RODO miało zasady ochrony danych zawężać (por. „Czy IPN podlega pod RODO?”);
  • udostępnianie danych spółkom tworzącym konsorcjum odpowiedzialne za prowadzenie strony podmiotowej BIP bez umów powierzenia danych osobowych narusza obowiązki administratora danych określone w art. 28 RODO, co prowadzi także do naruszenia zasady legalności (art. 5 ust. 1 lit. a) RODO) i zabezpieczenia danych (art. 5 ust. 1 lit. f) RODO), bo w nieistniejącej umowie nie określono powinności procesora jeśli chodzi o zabezpieczenie danych przed utratą, zniszczeniem lub uszkodzeniem;
  • brak określenia polityki przetwarzania danych osobowych w BIP pod kątem ich aktualności, celowości publikacji i określenia terminu przechowywania (i usuwania) oznacza naruszenie zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e) RODO) — obowiązkiem administratora jest usunięcie zbytecznych danych lub ograniczenie przechowywania do celów archiwalnych, badawczych, historycznych lub statystycznych (art. 89 ust. 1 RODO), przy czym podmiot nie może powołać się na to, że przepisy o dostępie do informacji publicznej nie regulują okresów udostępniania informacji (danych), ponieważ to oznacza, że „dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”;
  • decydując się na transmisję obrad rady miasta na YouTube burmistrz Aleksandrowa Kujawskiego nie przeprowadził analizy ryzyka związanego z korzystaniem z takiej usługi (tu chyba pobrzmiewa już nutka poddana przez wyrok TSUE w sprawie „Schrems-2”, uchylenia Privacy Shield i praktycznego podważenia standardowych klauzul umownych w relacjach z podmiotami z U.S.A.), zarazem brak kopii zapasowej (zapis obrazu był przechowywany wyłącznie na YT) oznacza naruszenie obowiązku zabezpieczenia przetwarzanych danych (art. 32 RODO);
  • brak wskazania w rejestrze czynności przetwarzania (związanych z publikacją BIP) wszystkich odbiorców danych, w tym YouTube, a także brak wskazania planowanego okresu usunięcia danych oznacza naruszenie zasady rozliczalności, a także wymagań w zakresie rejestrowania czynności przetwarzania danych osobowych (art. 30 ust. 1 lit. d) i f) RODO);
  • powyższe uchybienia oznaczają także naruszenie obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 24 RODO).

Z tego względu WSA ocenił, iż kara pieniężna w kwocie 40 tys. złotych (40% górnego pułapu,  jest karą „adekwatną, proporcjonalną i nałożona została w sposób prawidłowy” — uzasadnia ją bardzo długi czas trwania i umyślny charakter naruszeń, a także brak współpracy przez burmistrza z PUODO po wszczęciu postępowania.

Zamiast komentarza: coraz częściej dochodzę do przekonania, że RODO jest jak wąż, który zjada własny ogon; z drugiej strony oczywiście nie można zapominać, że w tym wszystkim chodzi o „ochronę” danych osobowych (nie ich „przetwarzanie”); z trzeciej zwracam uwagę, że święta Unia nie życzy sobie przekazywania danych do U.S.A. (bo — przypominam clue „Schrems-2” — Rzecznik ds. Tarczy Prywatności jako powoływany przez Sekretarza Stanu nie jest niezależny od władz tego państwa…) ale ta sama święta Unia nie potrafi sobie poradzić z grabieniem danych przez służby specjalne poszczególnych państw (nadal czekam na polskie tłumaczenia niedawnych wyroków TSUE w/s retencji danych telekomunikacyjnych, C-511/18 i C-623/17); z czwartej znów nie mam wątpliwości, że jak już to całe RODO uda się perfekcyjnie wdrożyć, to będziemy — my, Europejczycy — znacznie szczęśliwsi, ale też znacznie biedniejsi (subiektywnym pesymizmem czy obiektywnym realizmem jest powiedzieć, że prawdziwy rozkwit gospodarki opartej na innowacyjności i technologii — jej odnodze, która wymaga przetwarzania danych — jest możliwy tylko w warunkach przypominających Dziki Zachód z elementami poddaństwa?).

Taka ciekawostka: obecnie transmisje obrad rady Aleksandrowa Kujawskiego nie przekierowują już z BIP do YouTube, lecz do serwisu posiedzenia.pl — no ja mam nadzieję, że filmy nie są zapisywane na jakimś Amazonie, etc. Ale nasz kochany parlament nadal pozwala oglądać obrady na YT, a także podglądać na Tłitrze i Fejsbóczku — Prezesie UODO, ty to widzisz i nie grzmisz?!
Zwracam też uwagę, że dane osobowe są przetwarzane bezterminowo w urzędowych publikatorach (zwłaszcza w Monitorze Polskim), a przecież przepisy określające zasady promulgacji też nie określają terminów usuwania danych. Co oznacza, że należy zrobić przegląd i nie tylko usunąć Henryka Jabłońskiego (i paru innych), ale też nazwiska nominatów profesorskich, sędziowskich, etc., etc.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

4 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze