Pierwsza kara UODO dla samorządu!

Dodano: 30 października 2019
f324d7778b586c5f83f3063fd4048da82c960ac0-xlarge(4)

RODO dotyczy w całej rozciągłości także organów samorządu terytorialnego. Dobitnie dał temu przykład polski organ nadzorczy, wymierzając burmistrzowi karę finansową w wysokości 40 tys. zł. Sprawdzamy szczegóły.

Konieczne były dwie umowy powierzenia

Kara została wymierzona za zaniechanie zawarcia umowy powierzenia przetwarzania danych z firmą, na której serwerach umieszczono zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim a także nie zawarto z firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. W obydwu przypadkach zastosowanie winien znaleźć art. 28 ust. 3 RODO, zgodnie z którym administrator, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, jest zobligowany do zawarcia z tym podmiotem umowy powierzenia. W związku z tym, że takiej umowy nie zawarto, burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Pozostałe uchybienia

Stwierdzono także naruszenia w postaci braku procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. Za naruszenie uznano również przechowywania zarejestrowanych materiałów z posiedzeń rady miejskiej jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Natomiast w Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W konsekwencji utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Zaniechano również przeprowadzenia analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Dlatego Prezes UODO stwierdził również naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO). Dostrzeżono także braki w rejestrze czynności przetwarzania danych.

Uwaga

Wymierzając karę w wysokości 40 tys. zł wzięto pod uwagę przede wszystkim to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. W konsekwencji nie znaleziono podstaw do złagodzenia kary.

Podstawa prawna: 
  • Strona internetowa Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel