Monika Krasińska: Wiele samorządów nie traktuje informacji w Biuletynie Informacji Publicznej jako zasobu danych osobowych, co prowadzi m.in. do tego, że dane bywają nadmiarowe, nieaktualne lub nieprawdziwe.
Prezes UODO nałożył pierwszą karę na urząd. Aż 40 tys. zł ma zapłacić burmistrz Aleksandrowa Kujawskiego za uchybienia obowiązkom wynikającym z RODO. Eksperci uważają, że to surowa sankcja, bo mimo formalnych niedociągnięć nie naruszono praw i wolności dużej grupy osób.
Dziwi mnie takie stwierdzenie. Mówimy bowiem o sytuacji, w której administrator, mając obowiązek kontroli nad wszelkimi zasobami, w tym danymi osobowymi podlegającymi ujawnianiu w Biuletynie Informacji Publicznej, nie dopełnił absolutnie podstawowych zasad wynikających z RODO. W toku kontroli oraz późniejszego postępowania administracyjnego nie usunął stwierdzonych uchybień.
Brak chęci współpracy z UODO miał duży wpływ na wysokość kary?
Postawa administratora była jednym z elementów, który w istotny sposób wpłynął na decyzję prezesa UODO o nałożeniu kary oraz na jej wysokość. Administrator w odpowiedzi na zawiadomienie o wszczęciu postępowania nie odniósł się do wskazanych w nim naruszeń, poza kwestią retencji danych udostępnionych na stronie BIP. Nie było to pierwsze takie jego zachowanie. Mimo że wcześniej prezes UODO wydał decyzję w sprawie niezanonimizowania na stronie BIP określonych dokumentów, burmistrz także nie wdrożył żadnych rozwiązań w celu przeciwdziałania w przyszłości takim naruszeniom, w tym procedur przeglądu zasobów danych opublikowanych w BIP. Przy nakładaniu kary brany był także pod uwagę czas trwania naruszeń, zakres upublicznianych danych osobowych oraz ich charakter, np. dane o stanie majątkowym.
Czy niezawarcie umów powierzenia z podmiotem prowadzącym BIP oraz dostarczającym oprogramowanie dla jego stworzenia było przejawem lenistwa czy niezrozumienia przepisów?
Ukarany administrator nie ocenił właściwie nie tylko swojej roli, lecz także roli podmiotów, przy pomocy których realizował czynności związane z prowadzeniem i obsługą BIP. W konsekwencji nie podejmował żadnych działań, które miałyby prowadzić do zawarcia umów powierzenia przetwarzania danych z tymi podmiotami. Ocena statusu podmiotów uczestniczących w procesie przetwarzania danych jest niezwykle istotnym zadaniem każdego administratora.
Czy tego typu działania są powszechne w jednostkach samorządu terytorialnego? Jakie są spostrzeżenia po pierwszych kontrolach?
Nie bez przyczyny organ nadzorczy zajął się kontrolą urzędów pod kątem danych zawartych w BIP. Wiele JST nie traktuje upublicznionych tam informacji jako zasobu danych osobowych. Tymczasem jest tam wiele danych nadmiarowych, nieaktualnych lub nieprawdziwych, co może mieć negatywny wpływ na osoby, których one dotyczą. Jeżeli w BIP będą zamieszczone dokumenty, które nie podlegają publikacji, np. PIT-11 czy też PIT-37, to ujawnione są w ten sposób dane o szczególnym charakterze dla osoby, a mianowicie dane o jej stanie majątkowym, PESEL czy też dane o adresie zamieszkania. W przypadku wspólnych rozliczeń małżonków w ten sposób dodatkowo będą ujawniane dane osób trzecich. Taka sytuacja może negatywnie wpływać na prawa i wolności osób, których dane dotyczą, np. powodować ryzyko kradzieży tożsamości.
Dotychczasowe wyniki kontroli są także świadectwem tego, że podejście do ochrony danych przetwarzanych w BIP ulega poprawie. Wiele samorządów opracowało i wdrożyło odpowiednie polityki ochrony danych, dokonuje systematycznych ich przeglądów, zapewniając w ten sposób właściwą ochronę danych przetwarzanych w BIP.
Monitorowanie okresu retencji publikowanych danych może być jednak uciążliwe dla JST. Jak często powinny dokonywać przeglądu danych w BIP?
O tym powinien zdecydować administrator, biorąc pod uwagę obowiązujące przepisy prawa, charakter przetwarzanych danych czy też cel, któremu służy publikacja informacji w BIP. RODO zapewniło administratorom większą samodzielność, a przez to elastyczność działania, lecz jednocześnie zwiększyło ich odpowiedzialność za przyjmowane rozwiązania. Zgodnie z zasadą rozliczalności są oni zobowiązani do wykazania, czy i dlaczego przyjęli określone terminy retencji danych (bądź ich nieusuwania), a tym samym do wykazania, w jaki sposób stosują zasadę ograniczenia czasowego.
Nałożona w omawianej sprawie kara jako proporcjonalna do stwierdzonych naruszeń ma również wpłynąć na inne samorządy, aby przykładały większą wagę do właściwego stosowania zasad wynikających z RODO. Ma mieć bowiem także walor edukacyjny.
Zdaniem ekspertów przepisy nie określają precyzyjnie, jak długo większość informacji powinna być publikowana w BIP. Czy w tym zakresie potrzebne są jakieś zmiany prawne?
Niewątpliwie przyjęcie w przepisach sektorowych określonych terminów retencji danych lub też określenie kryteriów dla ich kształtowania ułatwia administratorom odpowiedzialnym za przetwarzanie danych w BIP realizację zasady ograniczenia czasowego. W przypadku braku takich przepisów administrator musi samodzielnie określić okresy retencji danych, stosując się do wynikającej z RODO zasady ograniczenia przechowywania.
Ukarany urząd publikował zarejestrowane materiały z posiedzeń rady miejskiej w zewnętrznym serwisie YouTube. Nie miał też ich kopii zapasowych. Co było większym problemem?
Problemem zasadniczym był brak analizy ryzyka związanego z korzystaniem przez burmistrza z kanału YouTube i przechowywaniem nagrań sesji rady miasta wyłącznie na serwerach właściciela tego serwisu. Decydując się na wykorzystanie jedynie takiego kanału, nie wzięto pod uwagę wszystkich zagrożeń związanych z publikacją i przechowywaniem tam nagrań, np. tego, że podmiot prowadzący wskazany serwis ma siedzibę w państwie trzecim. Nie przeanalizowano także ryzyka związanego z utratą danych zamieszczonych na tym kanale w sytuacji nieposiadania własnych kopii zapasowych. Doprowadziło to do naruszenia zarówno zasady poufności, jak i rozliczalności.
