Pierwsza kara dla organu publicznego za naruszenia RODO – uzasadnienie do wyroku sądu utrzymującego w mocy decyzję Prezesa UODO

Dostępne są już długo wyczekiwane wyrok oraz jego uzasadnienie w sprawie kary finansowej nałożonej na burmistrza jednego z miast w województwie kujawsko-pomorskim. Emocje budzi już sam fakt, że to rozstrzygnięcie sądu dotyczy pierwszej decyzji polskiego organu nadzorczego nakładającej karę finansową za naruszenie RODO na organ publiczny. Jednak, co istotniejsze, omawiana decyzja i uzasadnienie wyroku utrzymującego ją, stanowią bogate źródło wiedzy dla przedsiębiorców o kierunku interpretowania naruszeń przepisów o ochronie danych osobowych.

Czego dotyczyła decyzja Prezesa UODO

O samej decyzji Prezesa UODO pisaliśmy dokładnie rok temu. Warto w tym miejscu jedynie przypomnieć, że zarzuty dotyczyły następujących naruszeń:

  • Braku zawartych umów powierzenia danych z zewnętrznymi dostawcami usług.
  • Braku ustalenia w organizacji odpowiednich terminów przechowywania danych osobowych oraz ich przestrzegania (tzw. retencji danych).
  • Braku wykonania analizy ryzyka, która powinna poprzedzić dobór odpowiednich środków zabezpieczeń danych osobowych.
  • Braków w prowadzonej dokumentacji RODO ze względu na nieprawidłowości w sposobie prowadzenia rejestru czynności przetwarzania.

Potwierdzenie zarzutów doprowadziło do nałożenia stosunkowo wysokiej kary, bo wynoszącej aż 40% jej maksymalnego wymiaru, oraz do stwierdzenia przez organ nadzorczy naruszenia elementarnych zasad przetwarzania danych takich jak w szczególności:

  • Zasady przetwarzania danych zgodnie z prawem, określonej w art. 5 ust. 1 lit. a RODO.
  • Zasady poufności, określonej w art. 5 ust. 1 lit. f RODO.
  • Zasady ograniczonego przechowywania, określonej w art. 5 ust. 1 lit. e RODO.
  • Zasada integralności i poufności określonej w art. 5 ust. 1 lit. f RODO.
  • Zasada rozliczalności, określonej w art. 5 ust. 2 RODO.

Burmistrz zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego. Jednak sąd wydając wyrok w tej sprawie uznał, że skarga nie zasługiwała na uwzględnienie.

Dlaczego Sąd utrzymał decyzję w mocy

Sąd stwierdził, że zasady określone w art. 5 rozporządzenia 2016/679 (RODO) odgrywają istotną rolę wśród norm prawnych, regulujących ochronę danych osobowych.

Zdaniem Sądu to administrator danych powinien wykazać, udowodnić, że przestrzega zasad określonych we wspomnianym przepisie RODO. W ocenie Sądu skarżący, jako administrator danych, na którym spoczywał ciężar dowodu nie wykazał, że przestrzega wszystkich zasad przetwarzania danych osobowych.

Sąd w całości podzielił dokonaną przez organ nadzorczy ocenę poszczególnych naruszeń przepisów prawa materialnego. W uzasadnieniu wyroku sąd zwrócił uwagę m.in. na następujące kwestie:

  • Potrzebę zapewnienia odpowiedniego bezpieczeństwa danych, w tym na potrzebę ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Od administratora danych osobowych wymagane jest podjęcie proporcjonalnych środków celem zabezpieczenia danych.
  • Konieczność przeprowadzania analizy ryzyka. W ocenie Sądu wdrożenie takiej analizy zminimalizowałoby ryzyko powstania uchybień w procesie przetwarzania danych osobowych; Sąd zwrócił uwagę, że środki techniczne i organizacyjne, które należy wdrożyć muszą być adekwatne do ryzyka związanego z przetwarzaniem tych danych osobowych.
  • Konieczność przestrzegania zasady ograniczenia przechowania, także wówczas gdy maksymalny okres przechowywania danych nie wynika wprost z przepisów prawa. Z zasady tej wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Jakie ważne wnioski płyną z tej decyzji dla biznesu

RODO nakłada szereg obowiązków. Mając jednak na uwadze wyrok oraz samą decyzję Prezesa UODO, przetwarzając dane osobowe należy zwrócić jeszcze większą niż dotychczas uwagę na:

  • Zawarcie umów powierzenia przetwarzania danych wszędzie tam gdzie podmiot realizujący usługi (tzw. procesor) przetwarza dane osobowe w imieniu administratora.
  • Dobór środków zabezpieczeń danych poprzedzony analizą ryzyka dla poszczególnych procesów przetwarzania danych.
  • Przyjęcie odpowiedniego planu retencji danych, który musi określać terminy zaprzestania przetwarzania danych w tym ich usunięcia; taki plan retencji powinien być elementem dokumentacji RODO i powinien być faktycznie stosowany w organizacji.
  • Zapewnienie, że Rejestr Czynności Przetwarzania jest właściwie prowadzony tj. zawiera wszystkie niezbędne elementy oraz jest systematycznie uzupełniany.

Źródła:

Wyrok WSA z 26.08.2020 r. w sprawie o sygnaturze w sprawie

Komunikat UODO po wydaniu decyzji z dnia 18.10.2019 r. nr

Decyzja Prezesa UODO z dnia 18.10.2019 r. nr

Autor

Joanna Noga-Bogomilska

Radca prawny, specjalista z zakresu prawa ochrony danych osobowych. Doświadczenie zdobywała w warszawskich kancelariach prawnych a także w organach administracji publicznej. Prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.