Pierwsza kara nałożona na podmiot publiczny budzi wiele emocji wśród przedstawicieli sektora publicznego, ze względu na sam fakt jej nałożenia, jak również na jej wysokość – 40 tys. zł.
Zgodnie z art. 102 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych, administracyjna kara pieniężna dla podmiotów sektora finansów publicznych wynosi do 100 tys. złotych.
WSA rozpatrywał skargę Burmistrza Aleksandrowa Kujawskiego na decyzje Prezesa UODO z 18 października 2019 r. w związku z przetwarzaniem przez Burmistrza danych osobowych w Biuletynie Informacji Publicznej.
W wyniku postępowania sąd utrzymał karę w wysokości 40 tys. zł i uznał, że miasto powinno było zawrzeć umowę powierzenia przetwarzania z firmami obsługującymi BIP. Ponadto wskazał, że PUODO sposób wyczerpujący w wydanej decyzji uzasadnił zajęte stanowisko i wysokość nałożonej kary, która w ocenie sądu nie stanowi nadmiernego obciążenia dla organu i jest adekwatna do stwierdzonych naruszeń w obszarze przetwarzania danych.
Głównym zarzutem podnoszonym przez UODO było to, że burmistrz Aleksandrowa Kujawskiego nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane, co stanowi naruszenie art. 28 ust. 3 RODO. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem oraz zasadę poufności.
Ponadto, w trakcie kontroli ustalono, że urząd nie przyjął procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza.
Okres publikacji danych w przestrzeni publicznej nie jest tożsamy z okresem przechowywania danych wskazanym w instrukcji kancelaryjnej.
Aby przybliżyć problem, jakim jest określenie czasu publikacji danych w BIP posłużę się przykładem naboru na wolne stanowisko urzędnicze przeprowadzanego na podstawie ustawy o pracownikach samorządowych:
okres publikacji wyniku naboru w BIP i na tablicy ogłoszeń podmiotu, który przeprowadził nabór wynosi minimum 3 miesiące (art. 15 ustawy o pracownikach samorządowych). Nie określono czasu maksymalnego publikacji. Natomiast, zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych, konkursy na stanowiska w urzędach gminy otrzymują symbol 2110, a okres ich przechowywania wynosi 5 lat, zgodnie z przyznaną kategorią archiwalną B5. ADO ma więc obowiązek przechowywać dokumentację z przeprowadzonego naboru przez 5 lat, co nie oznacza, że dane mają być publicznie dostępne przez tak długi okres.
Ustawodawca określił minimalny 3-miesięczny okres publikacji z uwagi na możliwość ponownego obsadzenia tego samego stanowiska w ciągu 3 miesięcy od dnia nawiązania stosunku pracy, bez przeprowadzania kolejnego naboru. W mojej ocenie celem publikacji jest więc spełnienie zasady otwartego i konkurencyjnego naboru, zasady jawności działania oraz obowiązek dostosowania się do przepisów. Nie widzę celowości publikowania danych przez długi okres, np. rok lub dwa lata od naboru, co się zdarza. Zdarza się również, że dane osób, które wygrały konkurs „wiszą” dalej w BIPie, a one same nie są już pracownikami instytucji.
Uwzględniając zasadę minimalizacji danych wyrażoną w RODO, skłaniam się ku temu, aby po ustalić jak najkrótszy dopuszczalny prawem okres 3 miesięcy, a po tym czasie informację o wyniku naboru usuwać z BIP. Jednak jest to jedna z decyzji, którą administratorzy muszą sami podjąć po przeprowadzeniu analizy w swojej organizacji oraz przyjąć procedury wewnętrzne regulujące zasady publikacji i przeglądu zasobów dostępnych w BIP.
Uczmy się na błędach, najlepiej cudzych, i wyciągajmy wnioski. Błąd burmistrza Aleksandrowa Kujawskiego będzie dla niego kosztowny, ale niech będzie nauczką i przestrogą dla innych podmiotów publicznych.
Pierwsza kara nałożona na podmiot publiczny budzi wiele emocji wśród przedstawicieli sektora publicznego, ze względu na sam fakt jej nałożenia, jak również na jej wysokość – 40 tys. zł.
WSA rozpatrywał skargę Burmistrza Aleksandrowa Kujawskiego na decyzje Prezesa UODO z 18 października 2019 r. w związku z przetwarzaniem przez Burmistrza danych osobowych w Biuletynie Informacji Publicznej.
W wyniku postępowania sąd utrzymał karę w wysokości 40 tys. zł i uznał, że miasto powinno było zawrzeć umowę powierzenia przetwarzania z firmami obsługującymi BIP. Ponadto wskazał, że PUODO sposób wyczerpujący w wydanej decyzji uzasadnił zajęte stanowisko i wysokość nałożonej kary, która w ocenie sądu nie stanowi nadmiernego obciążenia dla organu i jest adekwatna do stwierdzonych naruszeń w obszarze przetwarzania danych.
Głównym zarzutem podnoszonym przez UODO było to, że burmistrz Aleksandrowa Kujawskiego nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane, co stanowi naruszenie art. 28 ust. 3 RODO. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem oraz zasadę poufności.
Ponadto, w trakcie kontroli ustalono, że urząd nie przyjął procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza.
Aby przybliżyć problem, jakim jest określenie czasu publikacji danych w BIP posłużę się przykładem naboru na wolne stanowisko urzędnicze przeprowadzanego na podstawie ustawy o pracownikach samorządowych:
okres publikacji wyniku naboru w BIP i na tablicy ogłoszeń podmiotu, który przeprowadził nabór wynosi minimum 3 miesiące (art. 15 ustawy o pracownikach samorządowych). Nie określono czasu maksymalnego publikacji. Natomiast, zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych, konkursy na stanowiska w urzędach gminy otrzymują symbol 2110, a okres ich przechowywania wynosi 5 lat, zgodnie z przyznaną kategorią archiwalną B5. ADO ma więc obowiązek przechowywać dokumentację z przeprowadzonego naboru przez 5 lat, co nie oznacza, że dane mają być publicznie dostępne przez tak długi okres.
Ustawodawca określił minimalny 3-miesięczny okres publikacji z uwagi na możliwość ponownego obsadzenia tego samego stanowiska w ciągu 3 miesięcy od dnia nawiązania stosunku pracy, bez przeprowadzania kolejnego naboru. W mojej ocenie celem publikacji jest więc spełnienie zasady otwartego i konkurencyjnego naboru, zasady jawności działania oraz obowiązek dostosowania się do przepisów. Nie widzę celowości publikowania danych przez długi okres, np. rok lub dwa lata od naboru, co się zdarza. Zdarza się również, że dane osób, które wygrały konkurs „wiszą” dalej w BIPie, a one same nie są już pracownikami instytucji.
Uwzględniając zasadę minimalizacji danych wyrażoną w RODO, skłaniam się ku temu, aby po ustalić jak najkrótszy dopuszczalny prawem okres 3 miesięcy, a po tym czasie informację o wyniku naboru usuwać z BIP. Jednak jest to jedna z decyzji, którą administratorzy muszą sami podjąć po przeprowadzeniu analizy w swojej organizacji oraz przyjąć procedury wewnętrzne regulujące zasady publikacji i przeglądu zasobów dostępnych w BIP.
Uczmy się na błędach, najlepiej cudzych, i wyciągajmy wnioski. Błąd burmistrza Aleksandrowa Kujawskiego będzie dla niego kosztowny, ale niech będzie nauczką i przestrogą dla innych podmiotów publicznych.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie