W ubiegłym tygodniu dowiedzieliśmy się o pierwszej karze administracyjnej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych na podmiot publiczny. W toku postępowania kontrolnego dopatrzono się zaniedbań i skutkowało to nałożeniem, na burmistrza Aleksandrowa Kujawskiego, kary administracyjnej w wysokości 40 000,00 zł. Przypomnijmy, że zgodnie z art. 102 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. przewiduje się maksymalną karę administracyjną dla jednostek sektora finansów publicznych w wysokości 100 000,00 zł. Co zatem było przyczyną nałożenia 40% maksymalnej kary?
Podsumowanie
- Brak umów powierzenia danych osobowych do przetwarzania, czy też braki w rejestrze czynności przetwarzania mogą być podstawą do wymierzenia kary administracyjnej.
- Czynnikiem zwiększającym wysokość kary administracyjnej jest brak współpracy z organem nadzorczym.
Brak umowy powierzenia danych osobowych jedną z podstaw do nałożenia kary
Pierwszym z uchybień, którego dopuścił się kontrolowany administrator danych był brak umowy powierzenia danych osobowych do przetwarzania z zewnętrznymi podmiotami wspierającymi infrastrukturę informatyczną. Precyzując były to podmioty, które:
- udostępniały przestrzeń serwerową dla zasobów Biuletynu Informacji Publicznej,
- dostarczały oprogramowanie niezbędne do stworzenia i funkcjonowania Biuletynu Informacji Publicznej, jak i realizowały dalszą obsługę serwisową oprogramowania.
Jak czytamy w decyzji PUODO, prosta czynność administracyjna, jaką jest zawarcie przedmiotowej umowy wpłynęła na wysokość kary:
Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze Prezes UODO uznał poważny charakter naruszenia wynikający z udostępnienia danych osobowych bez podstawy prawnej innym podmiotom oraz naruszenie zasady rozliczalności.
PUODO wskazał także na naruszenie zasady ograniczonego w czasie przechowania danych, która objawiła się np. brakiem procedur wewnętrznych, które określałyby okresy przeglądów zasobów Biuletynu Informacji Publicznej. Precyzując wskazano na publikację w ramach Biuletynu Informacji Publicznej oświadczeń majątkowych z roku 2010 pomimo, że okres przechowania oświadczeń majątkowych, zgodnie z treścią ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, wynosi 6 lat.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Jedną z czynności przetwarzania realizowaną przez Burmistrza Aleksandrowa Kujawskiego była także publikacja nagrań z sesji rady miejskiej (na podstawie art. 20 ust. 1b ustawy o samorządzie gminnym obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk), które następnie udostępnia się w Biuletynie Informacji Publicznej i na stronie internetowej gminy, jak i w inny sposób zwyczajowo przyjęty. PUODO dopatrzył się naruszenia w tym, iż publikacja danych osobowych przetwarzanych w związku z nagrywaniem i publikacją obrad sesji Rady Miejskiej Aleksandrowa Kujawskiego realizowana jest z wykorzystaniem kanału YouTube bez wykonania jakiejkolwiek kopii zapasowej nagrań, która byłaby przechowywyana odrębnie na potrzeby administratora danych. Jak czytamy w decyzji z dnia 18 października 2019 r.:
W związku z brakiem kopii nagrania sesji, w przypadku utraty danych zamieszczonych na stronie YouTube, Burmistrz Aleksandrowa Kujawskiego utraci dostęp do zapisu nagrania, a nie mając odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku, nie ma możliwości zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o którym mowa w art. 32 ust. 1 lit. b) oraz lit. c) ogólnego rozporządzenia o ochronie danych.
Wskazano także na inne naruszenie w postaci braków w rejestrze czynności przetwarzania, które objawiały się brakiem ujęcia okresów retencji w ramach rejestru, jak i brakiem wskazania wszystkich odbiorców danych osobowych, tj. zarówno innych administratorów danych, jak i podmiotów przetwarzających.
Co wpływa na wysokość kary administracyjnej za naruszenie przepisów RODO?
W ocenie PUODO zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, brak realizacji obowiązków administratora wynikających z ogólnego rozporządzenia o ochronie danych i czas trwania naruszenia. Podkreślić także należy, iż zdaniem PUODO kontrolowany administrator danych nie współpracował z organem nadzorczym w trakcie kontroli oraz nie usunął naruszeń po ich stwierdzeniu.
Od komentowanej decyzji ukaranemu administratorowi przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.
