Pierwsza kara dla podmiotu publicznego za naruszenie RODO

4 listopada 2019   /    /  Artykuły

Prezes UODO nałożył pierwszą karę za naruszenie RODO na podmiot publiczny – Burmistrza Aleksandrowa Kujawskiego. Burmistrz musi zapłacić 40 tys. zł kary pieniężnej oraz usunąć stwierdzone naruszenia w ciągu 60 dni. Podstawą do wydania takiej decyzji był przede wszystkim brak umów powierzenia danych do przetwarzania oraz przechowywanie m.in. oświadczeń majątkowych przez okres dłuższy niż dozwolony przepisami prawa.

Brak umów powierzenia

Burmistrz nie dopełnił obowiązku zawarcia umów powierzenia z firmą, która przechowywała na swoich serwerach zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego. Takiej umowy nie zawarto także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Tym samym PUODO uznał, że Burmistrz udostępnił dane osobowe bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Przekroczenie dopuszczalnego okresu przechowywania

Ponadto podczas kontroli stwierdzono, że na stronie BIP dostępne były m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co zdaniem PUODO wynika z przepisów sektorowych. Burmistrz miał naruszyć w ten sposób zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Inne naruszenia

Postępowanie ujawniło również nieprawidłowości w zabezpieczeniu materiałów z posiedzeń rady miejskiej. Urząd przechowywał je wyłącznie na dedykowanym kanale na YouTube, nie wykonując żadnej kopii zapasowej tych nagrań, co zwiększyło ryzyko ich trwałej utraty. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Wymiar kary

Jak wskazuje PUODO, na wymiar kary miał wpływ m.in. brak współpracy z organem w toku kontroli, a także niepodjęcie działań w celu usunięcia stwierdzonych nieprawidłowości. Przez to PUODO uznał, że nie zachodziły podstawy do złagodzenia kary, którą ustalił na stosunkowo wysokim poziomie tj. 40% maksymalnej stawki dla sektora publicznego.

Kara dla Burmistrza Aleksandrowa Kujawskiego jest czwartą z kolei karą nałożoną przez Prezesa UODO za naruszenie przepisów RODO, lecz pierwszą dla podmiotu publicznego. Przypadek ten dobitnie wskazuje, że instytucje publiczne nie są zwolnione z obowiązku ochrony danych osobowych, a ich działalność będzie podlegała takiej samej ocenie jak działalność podmiotów prywatnych. Jednak bez względu na sektor, w którym funkcjonuje ukarany podmiot, wnioski płynące z uzasadnienia decyzji są uniwersalne dla wszystkich administratorów – przetwarzanie danych bez podstawy prawnej (w tym bez zawartej umowy powierzenia) jest wg PUODO jednym z najcięższych naruszeń, tak samo jak ich przechowywanie przez nieuzasadniony okres, a wszelkie braki w tym zakresie mogą wiązać się z poważnymi konsekwencjami.

Pełną treść komunikatu PUODO znajdziesz pod tym linkiem: https://uodo.gov.pl/pl/138/1240, a treść decyzji: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.

 

Autor:
radca prawny Natalia Wojciechowska

Podziel się

Autor:

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Mateusz Borkiewicz

Managing Partner, adwokat

+48 663 683 888 Kontakt

Artykuły z tej kategorii

Obowiązki platform internetowych na gruncie aktu o usługach cyfrowych – wybrane zagadnienia

Artykuły

Więcej
Obowiązki platform internetowych na gruncie aktu o usługach cyfrowych – wybrane zagadnienia

Relacja RODO do aktu o usługach cyfrowych 

Artykuły

Więcej
Relacja RODO do aktu o usługach cyfrowych 

Ochrona konsumentów w ramach Aktu o Usługach Cyfrowych

Artykuły

Więcej
Ochrona konsumentów w ramach Aktu o Usługach Cyfrowych

Czym jest ESG? 

Artykuły

Więcej
Czym jest ESG? 

Jak tworzyć narzędzia AI zgodnie z prawem?

AI

Więcej
Jak tworzyć narzędzia AI zgodnie z prawem?
Więcej

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj