Pierwsza kara za nieprzestrzeganie przepisów RODO nałożona na organ administracji publicznej

05 Lis

Pierwsza kara za nieprzestrzeganie przepisów RODO nałożona na organ administracji publicznej

Pierwszym organem administracji samorządowej który został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości 40 tysięcy złotych  za nie dopełnienie obowiązków wynikających z Rozporządzenia o Ochronie Danych Osobowych jest Urząd Miejski w Aleksandrowie Kujawskim.

Urząd Miejski w Aleksandrowie Kujawskim jako administrator danych nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, które miały dostęp do tych danych oraz naruszył dopuszczalny okres przechowywania – m.in. oświadczeń majątkowych. Kara wymierzona dla Urzędu Miejskiego w Aleksandrowie Kujawskim stanowi 40 % maksymalnej kary jaką można nałożyć na instytucję publiczne za nieprzestrzeganie przepisów RODO – art. 102 ustawy o ochronie danych osobowych. Oprócz kary pieniężnej, prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Kara została nałożona za brak umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP). Takiej umowy nie zawarto również z innym przedsiębiorstwem, które dostarczało oprogramowanie do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. Doszło więc do naruszenia art. 28 ust. 3 RODO. Zobowiązującego administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Poprzez nie podpisanie umowy powierzenia burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

W toku postępowania ustalono także, brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych.

Ponadto ustalono, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2). Według UODO zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Skontaktuj się z nami - w czym możemy pomóc?

Administratorem Pani/Pana danych osobowych (dalej: „Administrator”) jest Grzegorz Kłunduk prowadzący działalność gospodarczą pod firmą Przedsiębiorstwo Konsultingowe AGM Grzegorz Kłunduk (42-674 Zbrosławice, ul. Morcinka 14), zarejestrowane w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: 6481984667, REGON: 276415939

Z Administratorem można się kontaktować pisemnie, za pomocą poczty tradycyjnej na adres: ul. Handlowa 2 lub drogą e-mailową pod adresem: agm@agm-konsulting.pl