GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Analiza decyzji Prezesa UODO nakładającej na Burmistrza Aleksandrowa Kujawskiego karę w wysokości 40.000 zł    

Analiza decyzji Prezesa UODO nakładającej na Burmistrza Aleksandrowa Kujawskiego karę w wysokości 40.000 zł    

Stan faktyczny, na kanwie którego nałożono karę na podmiot publiczny

Na przełomie stycznia i lutego 2019 r. u Burmistrza Aleksandrowa Kujawskiego („Administrator”, „ADO”) przeprowadzona została kontrola zgodności przetwarzania danych osobowych z przepisami ogólnego rozporządzenia o ochronie danych osobowych (RODO) oraz polskiej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Sprawdzeniu podlegały następujące obszary:

  1. przetwarzanie danych osobowych w ramach procesu wysyłki korespondencji oraz prowadzenia Biuletynu Informacji Publicznej (BIP);
  2. sposób prowadzenia rejestru czynności przetwarzania;
  3. dokumentacja naruszeń ochrony danych osobowych.

W ramach przeprowadzonej kontroli, w celu pełnego ustalenia stanu faktycznego, dokonano oględzin systemów informatycznych służących do przetwarzania danych osobowych oraz odebrano ustne wyjaśnienia od pracowników Urzędu Miejskiego. Na tej podstawie ustalono, że Administrator nie zawarł umów powierzenia przetwarzania danych z podmiotami, którym przekazywał dane osobowe,
a co za tym idzie, udostępniał je bez podstawy prawnej. Do podmiotów tych należały firmy dysponujące zasobami BIP na serwerach oraz dostarczające oprogramowanie do stworzenia BIP i udzielające wsparcia serwisowego w tej sferze. Kolejne odnotowane w trakcie kontroli uchybienie dotyczyło braku dokumentacji wewnętrznej umożliwiającej kontrolę okresu retencji dla danych znajdujących się w BIP, w wyniku czego dostępne były oświadczenia majątkowe, których okres przechowywania minął. Dodatkowo, w rejestrze czynności przetwarzania, nie zostali wskazani wszyscy odbiorcy danych oraz planowane terminy usunięcia danych. Innym uchybieniem był brak sporządzenia przez Administratora kopii zapasowych nagrań z posiedzeń rady miejskiej. Ich dostępność w BIP ograniczała się jedynie do serwisu YouTube, na którym zostały umieszczone w ramach dedykowanego kanału. Działanie to nie zostało również uwzględnione w analizie ryzyka. Uchybienia odnotowane w trakcie przeprowadzonej kontroli nie zostały usunięte przez ADO.

Za co Prezes UODO nałożył karę oraz co wpłynęło na jej wysokość?

  1. Brak podstawy prawnej udostępniania danych osobowych, a tym samym naruszenie zasady legalności (art. 5 ust. 1 lit. a RODO) oraz poufności (art. 5 ust.1 lit. f RODO).

Główne uchybienia wskazane przez Prezesa Urzędu Ochrony Danych Osobowych:

a) brak zawarcia przez Administratora umów powierzenia przetwarzania danych osobowych
z podmiotami odpowiedzialnymi za prowadzenie strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego;

b) utrata kontroli nad prawidłowością procesu przetwarzania danych, zawartych w Biuletynie Informacji Publicznej.

  1. Brak adekwatnej dokumentacji wewnętrznej oraz środków technicznych i organizacyjnych, umożliwiających ochronę praw i wolności osób fizycznych. Efekt zaniechań stanowi naruszenie zasady ograniczonego przechowywania (art. 5 ust. 1 lit. e RODO), integralności i poufności
    (art. 5 ust. 1 lit. f RODO), rozliczalności (art. 5 ust. 2 RODO).

Główne uchybienia wskazane przez Prezesa Urzędu Ochrony Danych Osobowych:

a) brak kontroli nad okresami retencji zasobów publikowanych w BIP, z uwagi na nieposiadanie procedur wewnętrznych w tym zakresie;

b) niemożność ochrony praw i wolności osób fizycznych osób, których dane przetwarzane były na serwerach YouTube, z uwagi na niewykonywanie kopii zapasowych nagrań;

c) brak identyfikacji i analizy ryzyka w związku z realizacją obowiązku prawnego, wynikającego z ustawy o dostępie do informacji publicznej, za pośrednictwem kanału w serwisie YouTube;

d) nieuwzględnienie wszystkich odbiorców danych oraz terminów usunięcia danych
w rejestrze czynności przetwarzania.

  1. Czynniki mające wpływ na decyzję o nałożeniu kary finansowej na Burmistrza oraz jej wymiar, związane są umyślnym charakterem naruszenia oraz brakiem współpracy ADO w kwestii podjęcia działań naprawczych.

Główne okoliczności wskazane przez Prezesa Urzędu Ochrony Danych Osobowych:

a) nieusunięcie nieprawidłowości wskazanych w trakcie kontroli oraz w toku postępowania administracyjnego;

b) brak wdrożenia rozwiązań uniemożliwiających wystąpienie w przyszłości podobnych naruszeń;

c) brak reakcji ADO na wskazane uchybienia oraz woli współpracy z organem nadzoru.

Podsumowanie decyzji Prezesa Urzędu Ochrony Danych Osobowych

  1. Jest to pierwsza kara nałożona na organ administracji publicznej. Warto zwrócić uwagę na jej wysokość, gdyż stanowi aż 40% maksymalnego wymiaru przeznaczonego dla jednostek sektora finansów publicznych (art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych).
  2. Brak współpracy Administratora z organem nadzoru oraz woli podjęcia działań zmierzających do zminimalizowania ryzyka wystąpienia naruszeń w przyszłości, stanowi istotną przesłankę wpływającą na wymiar kary finansowej oraz fakt jej wymierzenia.
  3. Omawiana decyzja wskazuje na konieczność weryfikacji wszystkich procesów przetwarzania danych osobowych przez ADO oraz inne podmioty w celu oceny niezbędności zawarcia stosownych umów powierzenia przetwarzania danych.
  4. Fakt, że ciężar argumentacji decyzji o wymierzeniu kary leży po stronie braków formalnych
    w dokumentacji ADO, a nie faktycznego naruszenia praw i wolności osób fizycznych, jasno wskazuje na konieczność wdrażania dokumentacji adekwatnej do charakteru działalności oraz zakresu przetwarzanych w jej ramach danych osobowych.
  5. Stanowisko PUODO jasno określa kierunek w jakim podążać powinna ochrona danych osobowych. Administratorzy powinni być świadomi wszystkich procesów przetwarzania danych, które odbywają się w ramach prowadzonych przez nich działalności. Oprócz zapewnienia zabezpieczeń fizycznych muszą oni położyć nacisk na kontrolowanie takich aspektów jak kompleksowość dokumentacji wewnętrznej oraz przestrzeganie ustalonych okresów przechowywania danych.

Praktyczny wymiar decyzji

W celu zachowania bezpieczeństwa danych osobowych niezbędne jest stałe monitorowanie procedur funkcjonujących na terenie placówki oraz dostosowywanie ich do zmieniającego się stanu faktycznego. Wszelkie dokumenty wewnętrzne muszą być tworzone w sposób adekwatny do działalności oraz kompleksowy, by umożliwić realizację praw osób, których dane dotyczą oraz stanowić przydatne narzędzie dla samego ADO. Jak wynika z powyższej decyzji zabezpieczenia fizyczne oraz infrastrukturalne są stawiane na równi z zabezpieczeniami organizacyjnymi.

Pełna treść decyzji dostępna jest na stronie UODO:  https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

 Opracował: Oskar Zacharski

 

 Zapraszamy także do lektury artykułu:

Czwarta kara Prezesa UODO nałożona

 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach