Kara dla urzędu miasta za nieprzestrzeganie RODO

Pierwsza kara dla podmiotu publicznego za nieprzestrzeganie rozporządzenia o ochronie danych osobowych, czyli popularnego RODO, stała się faktem. Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 40 tys. zł na burmistrza Aleksandrowa Kujawskiego (woj. kujawsko-pomorskie) za brak umowy powierzenia przetwarzania danych z tymi podmiotami, którym faktycznie udostępniał takie dane. Zgodnie z prawem urząd gminy musi przestrzegać RODO – tak jak każda jednostka samorządu terytorialnego.

Kara dla urzędu miasta za nieprzestrzeganie RODO
  • Michał Górecki
  • /
  • 8 listopada 2019

Czy urząd gminy musi przestrzegać RODO?

Nieprawidłowości stwierdzone przez Urząd Ochrony Danych Osobowych zostały stwierdzone w związku ze współpracą Urzędu Miejskiego w Aleksandrowie Kujawskim z firmą, na której serwerach zostały zamieszczone zasoby BIP, czyli Biuletynu Informacji Publicznej. Jak ustalił regulator, w tym przypadku jednostka samorządu terytorialnego nie podpisała umowy powierzenia przetwarzania danych osobowych. Zgodnie z obowiązującym od maja 2018 roku rozporządzeniem RODO, taki dokument powinien zostać sporządzony. Co więcej, Urząd Miejski nie zawarł takiej umowy także z innym podmiotem, który zajmował się dostarczaniem oprogramowania oraz usług serwisowych związanych z funkcjonowaniem Biuletynu Informacji Publicznej.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, w ten sposób został naruszony art 28 ust. 3 RODO, który nakłada na administratora, w imieniu którego przetwarzaniem danych osobowych zajmuje się inny podmiot, obowiązek zawarcia stosownej umowy powierzenia.

W tym konkretnym przypadku, w ocenie UODO, burmistrz miasta dopuścił się  udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f) — czytamy w komunikacie Urzędu Ochrony Danych Osobowych.

CZYTAJ TEŻ Rekordowa kara RODO! Aż 183,39 mln funtów dla British Airways

CZYTAJ TEŻ Problem kościołów i związków wyznaniowych. Przez RODO nie da się wykonać sakramentów.

Dane w BIP mogą naruszać RODO

W toku kontroli, Prezes Urzędu Ochrony Danych Osobowych napotkał na kolejne nieprawidłowości związane z działaniem Biuletynu Informacji Publicznej Aleksandrowa Kujawskiego. Chodzi o brak procedur wewnętrznych, dzięki którym można byłoby zweryfikować znajdujące się tam zasoby pod kątem określenia okresu ich publikacji. Prościej mówiąc, chodzi np. o sytuację, w której w sieci nadal dostępne były oświadczenia majątkowe za 2010 rok, mimo że okres ich przechowywania, zgodnie z przepisami, wynosi jedynie 6 lat. Jeżeli chodzi o inne dane, których okres przechowywania nie został prawnie określony, powinien to ustalić sam administrator w zależności od celów, dla jakich są one przetwarzane. W tym przypadku doszło do naruszenia zasady ograniczonego przechowywania, którą precyzuje RODO w art. 5 ust 1 lit. e.

CZYTAJ TEŻ Zgubiony smartfon a RODO

Transmisja rady miasta na YouTube – konieczna kopia zapasowa!

Przy okazji prowadzonego postępowania UODO odkrył jeszcze jedną nieprawidłowość. Chodzi o rejestrację materiałów z posiedzeń rady miejskiej oraz ich udostępnianie w internecie. W Biuletynie Informacji Publicznej udostępniano je poprzez link do konkretnego kanału zarejestrowanego w serwisie YouTube. UODO zauważył, że w urzędzie miejskim nigdzie nie zabezpieczono kopii zapasowych publikowanych w ten sposób materiałów. Gdyby z jakiegokolwiek powodu doszło do utraty tych nagrań zgromadzonych w serwisie YouTube, nie byłoby możliwości ich odzyskania. Co więcej, nikt nie przeprowadził także analizy ryzyka związanego z publikacją wspomnianych materiałów, wyłącznie za pośrednictwem popularnego serwisu wideo. To narusza kolejną zasadę RODO – integralności i poufności oraz zasadę rozliczalności.

W przypadku ostatniej z wymienionych zasad, została ona naruszona także w związku ze stwierdzonymi brakami w wymaganym prawem rejestrze czynności przetwarzania.

Jaka kara dla jednostki samorządu za nieprzestrzeganie RODO?

W związku z powyższymi nieprawidłowościami Prezes UODO nałożył karę w wysokości 40 tys. złotych. Podczas ustalenia jej wysokości wzięto pod uwagę fakt, że mimo stwierdzenia nieprawidłowości, administrator nie podjął się ich usunięcia, nie wdrożył działań naprawczych oraz nie współpracował z organem nadzoru. W opinii Prezesa UODO nie wystąpiły przesłanki, dzięki którym kara mogłaby zostać złagodzona.

Teraz administrator danych ma 60 dni na podjęcie działań, których efektem będzie usunięcie naruszeń RODO.

CZYTAJ TEŻ RODO i nowe uprawnienia konsumentów

CZYTAJ TEŻ Bilans pierwszego roku z RODO — więcej plusów czy minusów?

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!