Spór dotyczy decyzji z października 2019 r., w której prezes Urzędu Ochrony Danych Osobowych nałożył karę finansową na burmistrza Aleksandrowa Kujawskiego. Główny zarzut dotyczył sposobu publikowania informacji publicznych w Biuletynie Informacji Publicznej i tego, że burmistrz nie zawarł umowy powierzenia przetwarzania danych osobowych z firmami, które odpowiadają za funkcjonowanie tego serwisu od strony technicznej.

Administratorem danych publikowanych w BIP (w tym również oświadczeń majątkowych radnych, o czym niżej) jest Aleksandrów Kujawski. Tyle że dostęp do nich mają również firmy obsługujące stronę internetową od strony technicznej. Zgodnie z art. 28 ust. 3 RODO wymaga to umowy powierzenia, w której powinny zostać określone m.in. czas trwania przetwarzania, charakter i cel, rodzaj danych osobowych czy obowiązki i prawa administratora.

Miasto przekonywało, że nie mogło powierzyć przekazywania danych, bo to nie ono było stroną umowy z firmami dostarczającymi miejsca na serwerach i oprogramowania obsługujące BIP. Umowy zawarło województwo kujawsko-pomorskie, które otrzymało na to dofinansowanie ze środków europejskich. Gminy mogły albo do nich przystąpić i otrzymać BIP za darmo, albo też zapłacić za stworzenie i obsługę BIP tylko na własne potrzeby. Aleksandrów Kujawski, tak jak i inne gminy z województwa, wybrał to pierwsze rozwiązanie. Tylko na niego nałożono jednak karę za brak umowy powierzenia przetwarzania danych.

– System został stworzony przez województwo kujawsko-pomorskie, to ono podjęło decyzję, jak ten system ma wyglądać, to ono zaproponowało gminom przystąpienie do niego. Gdyby gminy do niego nie przystąpiły, mogłyby się narazić na zarzut niegospodarności. Prezes UODO wybrał zaś tylko jedną z gmin, nie wiadomo dlaczego nie województwo, i to ją ukarał – argumentował na środowej rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński, która reprezentuje Aleksandrów Kujawski.

Zgodnie z RODO

Główny zarzut dotyczył jednak tego, że decyzja prezesa UODO miała zostać wydana bez podstawy prawnej. Zasady udostępniania informacji publicznej nie są bowiem uregulowane przepisami unijnymi. Zgodnie zaś z art. 2 ust. 2 lit a. RODO rozporządzenie to nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa UE.

– Niektóre kraje, jak np. Niemcy czy Szwecja, zdecydowały się na rozszerzenie zakresu stosowania RODO również na dziedziny, które nie są objęte prawem unijnym. Polska nie zdecydowała się jednak na ten krok. A skoro tak, to RODO nie ma zastosowania przy udostępnianiu informacji publicznej, bo to nie jest regulowane przepisami unijnymi, w przeciwieństwie do ponownego wykorzystania informacji sektora publicznego. Wydanie decyzji przez UODO było więc jaskrawym przykładem wykroczenia poza zakres obowiązywania RODO – przekonywał dr Paweł Litwiński.

UODO nie zgadza się z tym zarzutem. Uważa, że przetwarzanie danych odbywające się przy okazji udostępniania informacji publicznej musi również odbywać się zgodzie z RODO.

– Z art. 6 ustawy o ochronie danych osobowych wynika, co polski ustawodawca postanowił wyłączyć spod RODO. Gdy sięgniemy do uzasadnienia projektu tej ustawy, przeczytamy, że celowo przyjęto w nim, że wyłączenie ma bardzo wąski charakter. Ratio legis tych uregulowań zostało więc jasno określone – przekonywał reprezentujący urząd radca prawny Michał Bałdyga. Podkreślił przy tym, że sądy administracyjne wielokrotnie badały sprawy z zakresu udostępniania informacji publicznej pod kątem ich zgodności z RODO.

Wojewódzki Sąd Administracyjny w Warszawie w środowym wyroku przyznał mu rację.

– Sąd podziela stanowisko, że w zakresie publikacji danych w BIP RODO ma zastosowania. Nie można więc powiedzieć, że decyzja została wydana bez podstawy prawnej – w ustnych motywach oddalenia skargi stwierdziła sędzia-sprawozdawca Agnieszka Góra-Błaszczykowska.

Kara adekwatna

W skardze podniesiono też inne zarzuty. Odniesiono się m.in. do kwestii publikacji w BIP oświadczeń majątkowych radnych. Zdaniem UODO widniały one zbyt długo w internecie. Najstarsze oświadczenia zostały złożone jeszcze w 2010 r. Tymczasem, jak wskazał UODO, zgodnie z art. 24h ust. 6 ustawy o samorządzie gminnym (t.j. Dz.U. z 2019 r. poz. 506 ze zm.) oświadczenia te przechowuje się przez sześć lat.

Miasto przekonywało, że wskazany okres dotyczy przechowywania, a nie publikacji. Skoro kadencja rady trwa pięć lat, to informacje te muszą być udostępniane przez ten okres i dopiero od jego zakończenia zaczyna biec sześcioletni termin przechowywania. Jak przekonywał dr Paweł Litwiński, sam UODO przyznawał, że mamy w tym zakresie do czynienia z luką prawną. Zdanie takie wyraziła w wywiadzie opublikowanym w DGP w kwietniu 2018 r. ówczesna dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Wskazywana przez nią luka miała być załatana ustawą o jawności życia publicznego, która jednak nigdy nie wyszła poza fazę projektu.

W ustnych motywach wyroku sąd nie ustosunkował się do tego argumentu. Odniósł się natomiast do zarzutu zbyt wysokiej kary. Skarżący się zwracał uwagę, że wynosi ona aż 40 proc. maksymalnej granicy, choć dotyczy zarzutów natury formalnej. W innej sprawie, dotyczącej Morele.net, gdzie doszło do realnego wycieku, prezes UODO wymierzył 2,8 mln zł kary, a więc ok. 3 proc. maksymalnej jej wysokości.

– Sąd nie uważa, żeby kara w wysokości 40 proc. górnego zagrożenia była nadmierna, ekstraordynaryjna i przekraczała możliwości finansowe gminy. Jest ona adekwatna do naruszenia – uznała Agnieszka Góra-Błaszczykowska.

orzecznictwo

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2836/19. www.serwisy.gazetaprawna.pl/orzeczenia