NSA oddalając skargę (sprawa o sygn. akt. II OSK 3839/21) podtrzymał argumenty podnoszone przez Prezesa UODO i zgodził się z wcześniejszym wyrokiem WSA w Warszawie (z 26 sierpnia 2020 r., sygn. akt. II SA/Wa 2826/19).
Zarzuty Prezesa UODO, z którymi zgodził się NSA, a wcześniej WSA, dotyczyły m.in. tego, że administrator nie zawarł umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) urzędu miejskiego w Aleksandrowie Kujawskim, a także z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i świadczył usługi serwisowe w tym zakresie. Brak takich umów narusza art. 28 ust. 3 RODO, zgodnie z którym administrator ma obowiązek zawarcia umowy powierzenia, gdy zleca wykonanie usług związanych z przetwarzaniem danych osobowych. Spór między burmistrzem Aleksandrowa a Prezesem UODO dotyczył m.in. kwestii tego, czy w takich okolicznościach RODO w ogóle ma zastosowanie. Wyrok NSA potwierdza, że wyjątki wyłączające stosowanie RODO muszą być interpretowane zawężająco i ograniczać się wyłącznie do tego, co niezbędne.
NSA potwierdził również, jak istotne jest posiadanie przez administratorów odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP, jak i określenie okresu, przez jaki będą przetwarzane dane w BIP.
NSA zgodził się z decyzją PUODO w aspekcie nieprawidłowości w związku z publikacją nagrań sesji rady miasta na kanale w YouTube. Administrator wybierając do zamieszczenia filmów z transmisją z posiedzeń rady wyłącznie kanał YouTube nie przeprowadził analizy ryzyka. W konsekwencji administrator nie miał pełnej kontroli nad danymi zawartymi w nagraniach. Analiza ryzyka mogła zaś pozwolić administratorowi upewnić się, czy dane z tego serwisu można odzyskać, czy w każdej sytuacji istnieje możliwość zrealizowania prawa osób do dostępu do danych, czy nie należy mieć kopii nagrań w innych miejscach, czy też jakie kategorie danych są w tym miejscu przetwarzane i zastosować odpowiednie środki ochrony, jak np. anonimizacja danych.
Z wyroku NSA wynikają dla administratorów bardzo istotne konsekwencje:
- W pierwszej kolejności, administratorzy powinni pamiętać o konieczności zawierania umów powierzenia przetwarzania danych, gdy usługi czy operacje przetwarzania danych realizowane są przez inny podmiot.
- Po drugie, bardzo istotne jest, by określić, jak długo dane będą przetwarzane do realizacji określonych celów szczególnie w sytuacji, gdy nie wynika to wprost z przepisów prawa. W sytuacji, gdy przepisy regulują tę kwestię, nie należy przetwarzać danych dłużej niż maksymalny okres wskazany w prawie.
- Wreszcie, decyzja powinna uświadomić administratorom danych to, że oceniając procesy przetwarzania danych osobowych i przekazując informacje za pośrednictwem serwisów będących własnością innych administratorów, trzeba pamiętać o konieczności dokonania oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach, czyli przeprowadzenia wnikliwej analizy ryzyka.
Przeprowadzenie takiej analizy ryzyka, jak i posiadania odpowiednich polityk związanych z procesami przetwarzania danych, pozwala administratorom realizować zasadę rozliczalności, określoną w RODO. Mogą oni wówczas łatwo wykazać, że przetwarzanie danych odbywa się zgodnie z prawem, zasadą celowości, zasadą ograniczenia czasu przetwarzania i zasadą poufności oraz integralności danych.