Pierwsza kara pieniężna dla podmiotu publicznego za naruszenie przepisów o ochronie danych osobowych

Jak wskazuje Urząd Ochrony Danych Osobowych, jednostki samorządu terytorialnego również muszą liczyć się z karami za nieprzestrzeganie RODO.

Pierwsza kara pieniężna dla podmiotu publicznego, wynosząca 40 tys. zł, została nałożona na burmistrza Aleksandrowa Kujawskiego, za:

  • przekazywanie danych osobowych bez podstawy prawnej (bez uprzedniego zawarcia umowy powierzenia),
  • brak odpowiednich polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim określających terminy usunięcia publikowanych danych osobowych;
  • nieprzeprowadzenie analizy ryzyka związanej z korzystaniem z kanału YouTube w celu transmisji nagrań Rady Miasta;
  • brak kopii zapasowych nagrań sesji Rady Miasta;
  • niewskazanie w rejestrze czynności przetwarzania danych osobowych odbiorców oraz planowanych terminów usunięcia danych dla czynności związanych z prowadzeniem Biuletynu Informacji Publicznej.

Prezes Urzędu wskazał, że administrator danych (w tym przypadku burmistrz) nie wdrożył odpowiednich środków organizacyjno-technicznych, które zapewniłyby przetwarzanie danych osobowych zgodne z zasadami określonymi w RODO. Burmistrz Aleksandrowa Kujawskiego naruszył zasady: zgodności z prawem, integralności i poufności, ograniczenia przechowywania, rozliczalności.

Bez wątpienia kara nałożona na burmistrza jest wysoka – wynosi ona 40% maksymalnej stawki w sektorze publicznym (art. 102. ustawy o ochronie danych osobowych), jednakże prezes UODO wymierzając karę, wziął pod uwagę fakt, że administrator w toku kontroli nie wykazał woli współpracy z organem nadzoru, nie usunął wskazanych nieprawidłowości, a także nie wdrożył rozwiązań mających przeciwdziałać naruszeniom w przyszłości. W związku z powyższym nie wystąpiły przesłanki umożliwiające złagodzenie kary. Oprócz kary pieniężnej, PUODO zobowiązał administratora do usunięcia naruszeń w ciągu 60 dni.

Jakie wnioski płyną z wydanej decyzji dla innych urzędów? Przede wszystkim należy:

  • dokonywać okresowych przeglądów danych publikowanych w Biuletynie Informacji Publicznej, a największą uwagę zwrócić na oświadczenia majątkowe i przeprowadzane nabory;
  • zweryfikować wszystkie sytuacje, w których dostęp do danych osobowych mają firmy zewnętrzne (czy są zwarte umowy powierzenia przetwarzania danych);
  • zadbać o tworzenie kopii zapasowych nagrań sesji Rady Gminy/Miasta;
  • przeanalizować ryzyko wiążące się z publikowaniem ww. nagrań w serwisie YouTube.

To czwarta finansowa kara pieniężna nałożona przez Prezesa Urzędu Ochrony Danych Osobowych, a pierwsza wymierzona instytucji samorządowej. Nałożone do tej pory kary w Polsce wyniosły: prawie 3 mln zł dla morele.net, 1 mln zł dla Bisnode, 56 tys. złotych dla związku sportowego.

Decyzja dostępna jest na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

Nina Kowalik

Kancelaria Wyrzykowscy