Pierwsza kara dla podmiotu publicznego za naruszenie RODO

-

Prezes UODO nałożył pierwszą karę za naruszenie RODO na podmiot publiczny – Burmistrza Aleksandrowa Kujawskiego. Burmistrz musi zapłacić 40 tys. zł kary pieniężnej oraz usunąć stwierdzone naruszenia w ciągu 60 dni. Podstawą do wydania takiej decyzji był przede wszystkim brak umów powierzenia danych do przetwarzania oraz przechowywanie m.in. oświadczeń majątkowych przez okres dłuższy niż dozwolony przepisami prawa.

Brak umów powierzenia

Burmistrz nie dopełnił obowiązku zawarcia umów powierzenia z firmą, która przechowywała na swoich serwerach zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego. Takiej umowy nie zawarto także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Tym samym PUODO uznał, że Burmistrz udostępnił dane osobowe bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Przekroczenie dopuszczalnego okresu przechowywania

Ponadto podczas kontroli stwierdzono, że na stronie BIP dostępne były m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co zdaniem PUODO wynika z przepisów sektorowych. Burmistrz miał naruszyć w ten sposób zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Inne naruszenia

Postępowanie ujawniło również nieprawidłowości w zabezpieczeniu materiałów z posiedzeń rady miejskiej. Urząd przechowywał je wyłącznie na dedykowanym kanale na YouTube, nie wykonując żadnej kopii zapasowej tych nagrań, co zwiększyło ryzyko ich trwałej utraty. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Wymiar kary

Jak wskazuje PUODO, na wymiar kary miał wpływ m.in. brak współpracy z organem w toku kontroli, a także niepodjęcie działań w celu usunięcia stwierdzonych nieprawidłowości. Przez to PUODO uznał, że nie zachodziły podstawy do złagodzenia kary, którą ustalił na stosunkowo wysokim poziomie tj. 40% maksymalnej stawki dla sektora publicznego.

Kara dla Burmistrza Aleksandrowa Kujawskiego jest czwartą z kolei karą nałożoną przez Prezesa UODO za naruszenie przepisów RODO, lecz pierwszą dla podmiotu publicznego. Przypadek ten dobitnie wskazuje, że instytucje publiczne nie są zwolnione z obowiązku ochrony danych osobowych, a ich działalność będzie podlegała takiej samej ocenie jak działalność podmiotów prywatnych. Jednak bez względu na sektor, w którym funkcjonuje ukarany podmiot, wnioski płynące z uzasadnienia decyzji są uniwersalne dla wszystkich administratorów – przetwarzanie danych bez podstawy prawnej (w tym bez zawartej umowy powierzenia) jest wg PUODO jednym z najcięższych naruszeń, tak samo jak ich przechowywanie przez nieuzasadniony okres, a wszelkie braki w tym zakresie mogą wiązać się z poważnymi konsekwencjami.

Pełną treść komunikatu PUODO znajdziesz pod tym linkiem: https://uodo.gov.pl/pl/138/1240, a treść decyzji: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.

 

Autor:
radca prawny Natalia Wojciechowska

radca prawny Natalia Wojciechowska