Pierwsza kara dla samorządu za naruszenie przepisów RODO

W komunikacie czytamy, że jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. W omawianym przypadku umowy powierzenia nie zawarto z firmą, na której serwerach znalazły się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.

Prezes UODO stwierdził więc naruszenie art. 28 ust. 3 RODO, który zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Nie zawierając takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej naruszając: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Ponadto, w toku postępowania kontrolnego prowadzonego przez Prezesa UODO ustalono, że nie było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. Skutkiem tego, np. w BIP były dostępne m.in. oświadczenia majątkowe z 2010 r., a z przepisów sektorowych wynika, że okres ich przechowywania wynosi 6 lat. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w akich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

Kolejne uchybienie dotyczy publikacji nagrań. W czasie postępowania ustalono bowiem, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Urząd miejski nie dysponował więc kopiami zapasowymi tych nagrań, co w razie utraty danych zapisanych w tym serwisie spowodowałoby, że administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono też analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO). Zasadę rozliczalności naruszono też w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Ważne

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, administrator ich nie usunął, ani nie wdrożył rozwiązań, które mogłyby przeciwdziałać naruszeniom w przyszłości. Administrator danych nie współpracował również z organem nadzoru. W konsekwencji Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes UODO nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Źródło: https://uodo.gov.pl/pl/138/1240




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych