28 lutego 2024 r. Naczelny Sąd Administracyjny wydał wyrok, który może być ważnym sygnałem nie tylko dla samorządów, ale także dla przedsiębiorców i organizacji prywatnych. W sprawie o sygn. akt II OSK 3839/21 NSA oddalił skargę kasacyjną burmistrza Aleksandrowa Kujawskiego i podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary w wysokości 40 tys. zł za naruszenie RODO.
Historia tego samorządu to nie tylko lokalny incydent. To studium przypadku, które pokazuje, że obowiązki związane z ochroną danych osobowych są realne i wymagają Twojej uwagi. Naruszenie RODO oznacza bowiem nie tylko problemy formalne, ale także poważne ryzyko finansowe i utratę reputacji.
Co było powodem kary za naruszenie RODO?
Prezes UODO nałożył sankcję, ponieważ burmistrz – jako administrator danych – nie zawarł wymaganych umów powierzenia z firmami, które obsługiwały Biuletyn Informacji Publicznej. Zasoby BIP były przechowywane na serwerach zewnętrznych, a dodatkowy podmiot dostarczał oprogramowanie i obsługę serwisową.
Brak zawarcia umów powierzenia przetwarzania danych stanowił naruszenie art. 28 ust. 3 RODO. To jeden z podstawowych obowiązków administratora, kiedy korzysta z usług zewnętrznych podmiotów. Właśnie to uchybienie doprowadziło do stwierdzenia naruszenia RODO i nałożenia kary.
NSA podkreślił, że argumenty burmistrza o braku zastosowania przepisów RODO do danych przetwarzanych w zasobach BIP nie miały podstawy prawnej.
Naruszenie RODO a YouTube i brak analizy ryzyka
Kolejnym zarzutem wobec burmistrza było publikowanie nagrań z sesji rady miasta wyłącznie na kanale YouTube. Administrator nie przeprowadził analizy ryzyka i nie miał kontroli nad tym, co dzieje się z danymi zawartymi w nagraniach.
Sąd wskazał, że analiza ryzyka powinna obejmować między innymi:
- możliwość odzyskania danych z serwisu,
- możliwość realizacji praw osób do dostępu do danych,
- kategorie danych osobowych, które są tam przetwarzane,
- konieczność ewentualnej anonimizacji danych.
Brak takiej analizy oznaczał, że administrator nie potrafił wykazać zgodności przetwarzania danych z RODO. To kolejny przykład, jak łatwo naruszenie RODO może wynikać z niedopatrzeń i braku procedur.
Dlaczego wyrok dotyczący naruszenia RODO jest ważny dla biznesu?
Choć sprawa dotyczyła samorządu, konsekwencje naruszenia RODO powinny być dla Ciebie jasne. Wyrok pokazuje uniwersalne zasady, które muszą stosować także przedsiębiorcy.
- Umowy powierzenia. Jeśli Twoja firma korzysta z usług IT, hostingu, chmury czy zewnętrznych narzędzi marketingowych, musisz zawierać umowy powierzenia danych. Brak takich umów to prosta droga do naruszenia RODO i poważnych sankcji.
- Okres przechowywania danych. Jako administrator powinieneś jasno określić, jak długo dane osobowe są przechowywane. Jeśli przepisy tego nie regulują, trzeba ustalić racjonalne terminy i konsekwentnie ich przestrzegać.
- Analiza ryzyka. Przetwarzanie danych wymaga przeprowadzenia analizy ryzyka. Musisz udokumentować swoje działania i uzasadnić je stanem faktycznym. Naruszenie RODO często wynika właśnie z pomijania tego etapu.
- Zasada rozliczalności. Administrator danych powinien być w stanie udowodnić, że przestrzega RODO. To nie jest formalność, lecz realny obowiązek, który chroni przed karami i zarzutami.
Prawo do ochrony danych osobowych jako fundament
NSA w uzasadnieniu wyroku przypomniał, że prawo do ochrony danych osobowych to prawo podstawowe wynikające z Karty Praw Podstawowych Unii Europejskiej oraz Traktatu o funkcjonowaniu UE. Dlatego naruszenie RODO nie może być traktowane jako drobne uchybienie. To naruszenie prawa podstawowego, którego stosowanie nie może być ograniczane w dowolny sposób.
To jasny sygnał także dla przedsiębiorców. Dane osobowe nie są „dodatkiem” w działalności, ale kluczową wartością. Jeśli zlekceważysz ochronę danych, narażasz swoją firmę na poważne konsekwencje finansowe i utratę zaufania klientów.
Im wcześniej zaczniesz zbierać dowody swojego wkładu, tym łatwiej będzie Ci dochodzić praw w sądzie.
Naruszenie RODO jako realne zagrożenie | Podsumowanie
Sprawa burmistrza z Aleksandrowa Kujawskiego pokazuje, że brak umów, brak analizy ryzyka i brak procedur w obszarze ochrony danych to prosta droga do sankcji finansowych. W tym przypadku kara wyniosła 40 tys. zł, ale dla firm prywatnych naruszenie RODO może oznaczać kary liczone w milionach euro.
Dlatego jako przedsiębiorca powinieneś traktować ochronę danych jako część strategii biznesowej, a nie wyłącznie jako obowiązek formalny. Naruszenie RODO to nie tylko kwestia prawa, ale także ryzyka finansowego i wizerunkowego.
Jeżeli chcesz mieć pewność, że Twoja firma działa zgodnie z RODO, warto sięgnąć po profesjonalne wsparcie. Nasza kancelaria pomaga przedsiębiorcom w przeprowadzaniu audytów, przygotowywaniu umów powierzenia, analizach ryzyka i tworzeniu procedur ochrony danych. Skontaktuj się z nami – pomożemy Ci uniknąć naruszenia RODO i kosztownych błędów, które już wielokrotnie doprowadziły inne podmioty do strat finansowych i utraty reputacji.
Źródło: https://uodo.gov.pl/pl/138/3013
