Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Maksymalne administracyjne kary pieniężne na gruncie RODO wynoszą do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu, przy czym zastosowanie ma kwota wyższa. Każdy kraj członkowski mógł obniżyć administracyjne kary pieniężne dla sektora publicznego, z czego skorzystał polski ustawodawca.

Zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes UODO może nałożyć maksymalnie 100 000 zł kary na jednostki sektora finansów publicznych (określone w art. 9 ustawy o finansach publicznych), a także instytuty badawcze i Narodowy Bank Polski.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Prezes UODO 18 października 2019 r. wydał decyzję administracyjną po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Burmistrza Aleksandrowa Kujawskiego. Postępowanie było poprzedzone kontrolą zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.">kontrolą zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Zakresem kontroli objęto sposób przetwarzania danych osobowych przez Burmistrza Aleksandrowa Kujawskiego w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.

Wzór umowy powierzenia zgodny z RODO
Pozwoli on na uregulowanie kluczowych kwestii w ramach relacji pomiędzy administratorem a podmiotem przetwarzającym.
Pobierz  

Zgodnie z powyższą decyzją Prezes UODO za naruszenie przepisów RODO nałożył na Burmistrza Aleksandrowa Kujawskiego administracyjną karę pieniężną w kwocie 40 000 zł. Biorąc pod uwagę maksymalny poziom kar dla jednostek sektora finansów publicznych – 100 000 zł – należy tę karę uznać za wysoką.

W decyzji Prezes UODO stwierdził naruszenie szeregu przepisów przez Burmistrza Aleksandrowa Kujawskiego, mianowicie:

  • art. 5 ust. 1 lit. a oraz f w zw. z art. 5 ust. 2 RODO, tj. zasady zgodności z prawem i zasady poufności, a także art. 28 ust. 3 RODO przez udostępnianie danych osobowych bez podstawy prawnej na rzecz podmiotu, na którego serwerach znalazły się zasoby BIP, oraz podmiotu, który dostarczał oprogramowanie do stworzenia BIP i zajmował się obsługą serwisową w tym zakresie, czyli bez uprzedniego zawarcia z tymi podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 RODO,
  • art. 5 ust. 1 lit. e w zw. z art. 5 ust. 2 RODO, tj. zasady ograniczenia przechowywania, oraz art. 24 RODO przez brak odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych,
  • art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 RODO, tj. zasady integralności i poufności oraz zasady prawidłowości, a także art. 24 RODO przez nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta,

    Kontrola UODO - dla nas to rutyna!

  • art. 5 ust. 1 lit. f w zw. z art. 5 ust. 2 RODO, tj. zasady integralności i poufności, oraz art. 32 RODO przez niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego,
  • art. 5 ust. 2 RODO, tj. zasady rozliczalności, a także art. 30 ust. 1 lit. d oraz f RODO przez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania.
CZYTAJ WIĘCEJ: Umowy powierzenia

W uzasadnieniu decyzji w zakresie finansowej kary administracyjnej Prezes UODO stwierdził, że nie zachodzą przesłanki, które mogłyby złagodzić wysokość kary, ponieważ Burmistrz, czyli administrator danych, m.in. nie współpracował z organem nadzorczym.

Należy pamiętać, że sektor publiczny jest zobligowany do przestrzegania przepisów o ochronie danych osobowych. Regulacje z zakresu ochrony danych osobowych to nie tylko RODO, lecz także przepisy sektorowe. Sektor publiczny musi również sprostać nowym standardom ochrony danych osobowych. w tych wyzwaniach administratorów danych powinni aktywnie wspierać inspektorzy ochrony danych (IOD) – wyznaczani obligatoryjnie. Administratorzy zaś powinni zapewniać m.in. zasoby niezbędne do utrzymania wiedzy fachowej IOD.

Ochrona danych osobowych to także ochrona naszej prywatności. Nie zapominajmy, że dane osobowe to złoto XXI wieku.

Czytaj także:

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".