Tak uznał w środę Naczelny Sąd Administracyjny (NSA) w przełomowym wyroku dotyczącym samorządów, które wykonują swoje obowiązki udostępniania informacji publicznej m.in. poprzez publikowanie w sieci posiedzeń swoich organów.
Sprawa dotyczyła jednego z miast na Kujawach. A kłopoty jego burmistrza zaczęły się w 2019 r. po wizycie kontrolerów z Urzędu Ochrony Danych Osobowych (UODO), którzy zarzucili mu kilka naruszeń. Badano zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, m.in. RODO, w procesie wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP).
Odesłanie z BIP do link na YouTube narusza RODO
Kontrolerzy m.in. zarzucili, że burmistrz nie zawarł umów powierzenia przetwarzania danych z firmami uczestniczącymi w procesie przetwarzania w BIP. Okazało się bowiem, że zasoby BIP urzędu miejskiego znajdują się na serwerze podmiotu zewnętrznego, który zapewnia parametry techniczne utrzymania strony. Kolejne zastrzeżenia miały związek z obowiązkiem transmisji i publikacji obrad rady miejskiej w BIP przez utworzony kanał na YouTubie. Z ustaleń wynikało, że miasto miało podpisaną umowę z tą popularną platformą jako podmiotem zewnętrznym na transmisję posiedzeń organów miasta w sieci. Na stronie BIP był zamieszczany link do kanału.
Z chwilą zakończenia nagrania sesji zapisywało się ono automatycznie na stronie YouTube, a w urzędzie miejskim nie pozostawała żadna jego kopia. Urzędnicy UODO nie tylko to uznali za naruszenie. Wytknęli burmistrzowi, że decyzja o korzystaniu z YouTube’a nie została poprzedzona analizą możliwych ryzyk wynikających z tego narzędzia podczas przetwarzania danych osobowych uczestników sesji rady. Tymczasem korzystanie przez administratora z zasobów i narzędzi oferowanych przez podmioty zewnętrzne, jak np. popularna platforma YouTube, może wiązać się z wyższym ryzykiem naruszenia ochrony danych osobowych.
Co gorsza, kontrola nie zakończyła się tylko zaleceniami dostosowania operacji przetwarzania danych osobowych do przepisów RODO. Prezes UODO nałożył bowiem na burmistrza jeszcze 40 tys. zł kary. Samorządowcy nie zgadzali się ani z zarzutami, ani ze słoną karą. Tłumaczyli, że system dostępu do informacji publicznej został przygotowany przez województwo ze środków unijnych. Miasto nie ma wpływu na przyjęte rozwiązania, musiało je wdrożyć, żeby nie narażać się na zarzut niegospodarności. Dlatego w tym przypadku burmistrza nie można uznać za administratora danych. Głównym argumentem było jednak to, że przetwarzanie danych na potrzeby dostępu do informacji publicznej jest w ogóle wyłączone z RODO.