Dostępne są już długo wyczekiwane wyrok oraz jego uzasadnienie w sprawie kary finansowej nałożonej na burmistrza jednego z miast w województwie kujawsko-pomorskim. Emocje budzi już sam fakt, że to rozstrzygnięcie sądu dotyczy pierwszej decyzji polskiego organu nadzorczego nakładającej karę finansową za naruszenie RODO na organ publiczny. Jednak, co istotniejsze, omawiana decyzja i uzasadnienie wyroku utrzymującego ją, stanowią bogate źródło wiedzy dla przedsiębiorców o kierunku interpretowania naruszeń przepisów o ochronie danych osobowych.
Czego dotyczyła decyzja Prezesa UODO
O samej decyzji Prezesa UODO pisaliśmy dokładnie rok temu. Warto w tym miejscu jedynie przypomnieć, że zarzuty dotyczyły następujących naruszeń:
- Braku zawartych umów powierzenia danych z zewnętrznymi dostawcami usług.
- Braku ustalenia w organizacji odpowiednich terminów przechowywania danych osobowych oraz ich przestrzegania (tzw. retencji danych).
- Braku wykonania analizy ryzyka, która powinna poprzedzić dobór odpowiednich środków zabezpieczeń danych osobowych.
- Braków w prowadzonej dokumentacji RODO ze względu na nieprawidłowości w sposobie prowadzenia rejestru czynności przetwarzania.
Potwierdzenie zarzutów doprowadziło do nałożenia stosunkowo wysokiej kary, bo wynoszącej aż 40% jej maksymalnego wymiaru, oraz do stwierdzenia przez organ nadzorczy naruszenia elementarnych zasad przetwarzania danych takich jak w szczególności:
- Zasady przetwarzania danych zgodnie z prawem, określonej w art. 5 ust. 1 lit. a RODO.
- Zasady poufności, określonej w art. 5 ust. 1 lit. f RODO.
- Zasady ograniczonego przechowywania, określonej w art. 5 ust. 1 lit. e RODO.
- Zasada integralności i poufności określonej w art. 5 ust. 1 lit. f RODO.
- Zasada rozliczalności, określonej w art. 5 ust. 2 RODO.
Burmistrz zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego. Jednak sąd wydając wyrok w tej sprawie uznał, że skarga nie zasługiwała na uwzględnienie.
Dlaczego Sąd utrzymał decyzję w mocy
Sąd stwierdził, że zasady określone w art. 5 rozporządzenia 2016/679 (RODO) odgrywają istotną rolę wśród norm prawnych, regulujących ochronę danych osobowych.
Zdaniem Sądu to administrator danych powinien wykazać, udowodnić, że przestrzega zasad określonych we wspomnianym przepisie RODO. W ocenie Sądu skarżący, jako administrator danych, na którym spoczywał ciężar dowodu nie wykazał, że przestrzega wszystkich zasad przetwarzania danych osobowych.
Sąd w całości podzielił dokonaną przez organ nadzorczy ocenę poszczególnych naruszeń przepisów prawa materialnego. W uzasadnieniu wyroku sąd zwrócił uwagę m.in. na następujące kwestie:
- Potrzebę zapewnienia odpowiedniego bezpieczeństwa danych, w tym na potrzebę ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Od administratora danych osobowych wymagane jest podjęcie proporcjonalnych środków celem zabezpieczenia danych.
- Konieczność przeprowadzania analizy ryzyka. W ocenie Sądu wdrożenie takiej analizy zminimalizowałoby ryzyko powstania uchybień w procesie przetwarzania danych osobowych; Sąd zwrócił uwagę, że środki techniczne i organizacyjne, które należy wdrożyć muszą być adekwatne do ryzyka związanego z przetwarzaniem tych danych osobowych.
- Konieczność przestrzegania zasady ograniczenia przechowania, także wówczas gdy maksymalny okres przechowywania danych nie wynika wprost z przepisów prawa. Z zasady tej wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Jakie ważne wnioski płyną z tej decyzji dla biznesu
RODO nakłada szereg obowiązków. Mając jednak na uwadze wyrok oraz samą decyzję Prezesa UODO, przetwarzając dane osobowe należy zwrócić jeszcze większą niż dotychczas uwagę na:
- Zawarcie umów powierzenia przetwarzania danych wszędzie tam gdzie podmiot realizujący usługi (tzw. procesor) przetwarza dane osobowe w imieniu administratora.
- Dobór środków zabezpieczeń danych poprzedzony analizą ryzyka dla poszczególnych procesów przetwarzania danych.
- Przyjęcie odpowiedniego planu retencji danych, który musi określać terminy zaprzestania przetwarzania danych w tym ich usunięcia; taki plan retencji powinien być elementem dokumentacji RODO i powinien być faktycznie stosowany w organizacji.
- Zapewnienie, że Rejestr Czynności Przetwarzania jest właściwie prowadzony tj. zawiera wszystkie niezbędne elementy oraz jest systematycznie uzupełniany.
Źródła:
Wyrok WSA z 26.08.2020 r. w sprawie o sygnaturze w sprawie