Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Joanna Kube, Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 26 sierpnia 2020 r. sprawy ze skargi Burmistrza A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2019 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Przedmiotem rozpoznania w niniejszej sprawie była skarga Burmistrza A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] października 2019 r. w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
W dniach od [...] stycznia do [...] lutego 2019 r. upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ) kontrolujący, przeprowadzili u Burmistrza A. (zwany dalej: Burmistrz, skarżący) kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: rozporządzeniem 2016/679) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwaną dalej: u.o.d.o.). Zakresem kontroli objęty został sposób przetwarzania danych osobowych przez Burmistrza w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.
W toku kontroli odebrano od pracowników Urzędu Miejskiego w A. ustne wyjaśnienia oraz dokonano oględzin systemów informatycznych, służących do przetwarzania danych osobowych i oględzin strony BIP. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Burmistrz, jako administrator, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1) udostępnianiu danych osobowych na rzecz [...] Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: [...] S.A. z siedzibą w G. oraz [...]S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w A. 2) braku procedur wewnętrznych, dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, w wyniku czego na stronie BIP Urzędu Miejskiego w A. publikowane są dokumenty zawierające dane osobowe przez okres dłuższy niż wynika to z przepisów prawa;
3) niewdrożeniu odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych w związku z przechowywaniem nagrania sesji wyłącznie na serwerach YouTube, bez wykonywania kopii nagrań sesji Rady Miejskiej A., znajdujących się we własnych zasobach urzędu; 4) nieprzeprowadzeniu analizy ryzyka w związku z korzystaniem przez Burmistrza z kanału YouTube w celu realizacji obowiązku prawnego, wynikającego z art. 8 ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2019 r. poz. 1429, zwana dalej: u.d.i.p.); 5) niewskazaniu w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miejskiego w A., wszystkich odbiorców danych oraz niewskazaniu dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczone przechowywania.