Zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes UODO może nałożyć maksymalnie 100 000 zł kary na jednostki sektora finansów publicznych (określone w art. 9 ustawy o finansach publicznych), a także instytuty badawcze i Narodowy Bank Polski.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zakresem kontroli objęto sposób przetwarzania danych osobowych przez Burmistrza Aleksandrowa Kujawskiego w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.
Wzór umowy powierzenia zgodny z RODO
Pozwoli on na uregulowanie kluczowych kwestii w ramach relacji pomiędzy administratorem a podmiotem przetwarzającym.
Pobierz
Zgodnie z powyższą decyzją Prezes UODO za naruszenie przepisów RODO nałożył na Burmistrza Aleksandrowa Kujawskiego administracyjną karę pieniężną w kwocie 40 000 zł. Biorąc pod uwagę maksymalny poziom kar dla jednostek sektora finansów publicznych – 100 000 zł – należy tę karę uznać za wysoką.
W decyzji Prezes UODO stwierdził naruszenie szeregu przepisów przez Burmistrza Aleksandrowa Kujawskiego, mianowicie:
- art. 5 ust. 1 lit. a oraz f w zw. z art. 5 ust. 2 RODO, tj. zasady zgodności z prawem i zasady poufności, a także art. 28 ust. 3 RODO przez udostępnianie danych osobowych bez podstawy prawnej na rzecz podmiotu, na którego serwerach znalazły się zasoby BIP, oraz podmiotu, który dostarczał oprogramowanie do stworzenia BIP i zajmował się obsługą serwisową w tym zakresie, czyli bez uprzedniego zawarcia z tymi podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 RODO,
- art. 5 ust. 1 lit. e w zw. z art. 5 ust. 2 RODO, tj. zasady ograniczenia przechowywania, oraz art. 24 RODO przez brak odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych,
- art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 RODO, tj. zasady integralności i poufności oraz zasady prawidłowości, a także art. 24 RODO przez nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta,
- art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 RODO, tj. zasady integralności i poufności, oraz art. 32 RODO przez niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego,
- art. 5 ust. 2 RODO, tj. zasady rozliczalności, a także art. 30 ust. 1 lit. d oraz f RODO przez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania.
W uzasadnieniu decyzji w zakresie finansowej kary administracyjnej Prezes UODO stwierdził, że nie zachodzą przesłanki, które mogłyby złagodzić wysokość kary, ponieważ Burmistrz, czyli administrator danych, m.in. nie współpracował z organem nadzorczym.
Należy pamiętać, że sektor publiczny jest zobligowany do przestrzegania przepisów o ochronie danych osobowych. Regulacje z zakresu ochrony danych osobowych to nie tylko RODO, lecz także przepisy sektorowe. Sektor publiczny musi również sprostać nowym standardom ochrony danych osobowych. w tych wyzwaniach administratorów danych powinni aktywnie wspierać inspektorzy ochrony danych (IOD) – wyznaczani obligatoryjnie. Administratorzy zaś powinni zapewniać m.in. zasoby niezbędne do utrzymania wiedzy fachowej IOD.
Ochrona danych osobowych to także ochrona naszej prywatności. Nie zapominajmy, że dane osobowe to złoto XXI wieku.