fbpx

Treść artykułu

W ubiegłym tygodniu dowiedzieliśmy się o pierwszej karze administracyjnej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych na podmiot publiczny. W toku postępowania kontrolnego dopatrzono się zaniedbań i skutkowało to nałożeniem, na burmistrza Aleksandrowa Kujawskiego, kary administracyjnej w wysokości 40 000,00 zł. Przypomnijmy, że zgodnie z art. 102 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. przewiduje się maksymalną karę administracyjną dla jednostek sektora finansów publicznych w wysokości 100 000,00 zł. Co zatem było przyczyną nałożenia 40% maksymalnej kary?

Brak umowy powierzenia danych osobowych jedną z podstaw do nałożenia kary

Pierwszym z uchybień, którego dopuścił się kontrolowany administrator danych był brak umowy powierzenia danych osobowych do przetwarzania z zewnętrznymi podmiotami wspierającymi infrastrukturę informatyczną. Precyzując były to podmioty, które:

  • udostępniały przestrzeń serwerową dla zasobów Biuletynu Informacji Publicznej,
  • dostarczały oprogramowanie niezbędne do stworzenia i funkcjonowania Biuletynu Informacji Publicznej, jak i realizowały dalszą obsługę serwisową oprogramowania.

Jak czytamy w decyzji PUODO, prosta czynność administracyjna, jaką jest zawarcie przedmiotowej umowy wpłynęła na wysokość kary:

Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze Prezes UODO uznał poważny charakter naruszenia wynikający z udostępnienia danych osobowych bez podstawy prawnej innym podmiotom oraz naruszenie zasady rozliczalności.

PUODO wskazał także na naruszenie zasady ograniczonego w czasie przechowania danych, która objawiła się np. brakiem procedur wewnętrznych, które określałyby okresy przeglądów zasobów Biuletynu Informacji Publicznej. Precyzując wskazano na publikację w ramach Biuletynu Informacji Publicznej oświadczeń majątkowych z roku 2010 pomimo, że okres przechowania oświadczeń majątkowych, zgodnie z treścią ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, wynosi 6 lat.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Jedną z czynności przetwarzania realizowaną przez Burmistrza Aleksandrowa Kujawskiego była także publikacja nagrań z sesji rady miejskiej (na podstawie art. 20 ust. 1b ustawy o samorządzie gminnym obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk), które następnie udostępnia się w Biuletynie Informacji Publicznej i na stronie internetowej gminy, jak i w inny sposób zwyczajowo przyjęty. PUODO dopatrzył się naruszenia w tym, iż publikacja danych osobowych przetwarzanych w związku z nagrywaniem i publikacją obrad sesji Rady Miejskiej Aleksandrowa Kujawskiego realizowana jest z wykorzystaniem kanału YouTube bez wykonania jakiejkolwiek kopii zapasowej nagrań, która byłaby przechowywyana odrębnie na potrzeby administratora danych. Jak czytamy w decyzji z dnia 18 października 2019 r.:

W związku z brakiem kopii nagrania sesji, w przypadku utraty danych zamieszczonych na stronie YouTube, Burmistrz Aleksandrowa Kujawskiego utraci dostęp do zapisu nagrania, a nie mając odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku, nie ma możliwości zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o którym mowa w art. 32 ust. 1 lit. b) oraz lit. c) ogólnego rozporządzenia o ochronie danych.

Wskazano także na inne naruszenie w postaci braków w rejestrze czynności przetwarzania, które objawiały się brakiem ujęcia okresów retencji w ramach rejestru, jak i brakiem wskazania wszystkich odbiorców danych osobowych, tj. zarówno innych administratorów danych, jak i podmiotów przetwarzających.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Co wpływa na wysokość kary administracyjnej za naruszenie przepisów RODO?

W ocenie PUODO zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na wagę naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, brak realizacji obowiązków administratora wynikających z ogólnego rozporządzenia o ochronie danych i czas trwania naruszenia. Podkreślić także należy, iż zdaniem PUODO kontrolowany administrator danych nie współpracował z organem nadzorczym w trakcie kontroli oraz nie usunął naruszeń po ich stwierdzeniu.

Od komentowanej decyzji ukaranemu administratorowi przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane