Pierwsza kara za nieprzestrzeganie przepisów RODO nałożona na organ administracji publicznej
Pierwszym organem administracji samorządowej który został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości 40 tysięcy złotych za nie dopełnienie obowiązków wynikających z Rozporządzenia o Ochronie Danych Osobowych jest Urząd Miejski w Aleksandrowie Kujawskim.
Urząd Miejski w Aleksandrowie Kujawskim jako administrator danych nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, które miały dostęp do tych danych oraz naruszył dopuszczalny okres przechowywania – m.in. oświadczeń majątkowych. Kara wymierzona dla Urzędu Miejskiego w Aleksandrowie Kujawskim stanowi 40 % maksymalnej kary jaką można nałożyć na instytucję publiczne za nieprzestrzeganie przepisów RODO – art. 102 ustawy o ochronie danych osobowych. Oprócz kary pieniężnej, prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Kara została nałożona za brak umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP). Takiej umowy nie zawarto również z innym przedsiębiorstwem, które dostarczało oprogramowanie do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. Doszło więc do naruszenia art. 28 ust. 3 RODO. Zobowiązującego administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Poprzez nie podpisanie umowy powierzenia burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
W toku postępowania ustalono także, brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych.
Ponadto ustalono, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2). Według UODO zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.