Kara RODO dla organu publicznego!

Decyzją administracyjną z dnia 18 października 2019 roku Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „PUODO”) nałożył karę pieniężną na Burmistrza Aleksandrowa Kujawskiego w kwocie 40 000 zł.

Dlaczego zastosowana kara jest dość niska?

Polski ustawodawca w nowej ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku przyjął możliwość ustanowienia odrębnych zasad nakładania administracyjnych kar pieniężnych, inne te bardzo wysokie i dobrze znane określone przez RODO. Maksymalna kara, jaką PUODO może nałożyć na podmiot publiczny to 100 000 zł.

Jakich naruszeń dopuścił się Burmistrz?

Bardzo wielu. Przede wszystkim, PUODO stwierdził, iż udostępniono dane osobowe innym podmiotom bez podstawy prawnej oraz naruszono niezwykle ważną zasadę rozliczalności. Warto pamiętać, iż na administratorze (również na burmistrzu) danych ciąży ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Naruszenia polegały na:

  1. niezawarciu umowy powierzenia przetwarzania danych z podmiotami uczestniczącymi w procesie przetwarzania danych w związku z prowadzeniem strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim. Zawarcie umowy powierzenia przetwarzania danych było niezbędne, ponieważ:
  • przetwarzanie danych osobowych odbywało się poprzez korzystanie przez Urząd Miejski w Aleksandrowie Kujawskim z serwera podmiotu zewnętrznego;
  • przetwarzano dane osobowe w związku z dostarczeniem oprogramowania dotyczącego utworzenia regionalnego biuletynu informacji publicznej;
  1. przechowywaniu na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim oświadczeń majątkowych radnych oraz informacji o wynikach naborów na wolne stanowiska pracy przez okres dłuższy niż wynika to z przepisów prawa w wyniku, a także nieposiadania wewnętrznych procedur dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania;
  2. publikowaniu danych osobowych przetwarzanych w związku z nagrywaniem
    i publikacją obrad sesji Rady Miejskiej Aleksandrowa Kujawskiego z wykorzystaniem kanału YouTube. Na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim zamieszczony został link do dedykowanego kanału YouTube. Z chwilą zakończenia nagrania sesji, nagranie to zostawało automatycznie zapisane na stronie YouTube, zaś w Urzędzie Miejskim w Aleksandrowie Kujawskim nie pozostawała żadna kopia tego nagrania. Nagrania zapisywano wyłącznie na serwerach YouTube. Naruszenie to uznano za niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych w związku z przechowywaniem nagrania sesji;
  3. nieprzeprowadzenie analizy ryzyka w związku z korzystaniem przez Burmistrza Miasta Aleksandrowa Kujawskiego z kanału YouTube. Przeprowadzenie analizy możliwych ryzyk było niezbędne, zwłaszcza ze względu na wyższy stopień ryzyka naruszenia ochrony danych osobowych – środki organizacyjne i techniczne wykorzystywane dla ochrony danych osobowych opublikowanych na YouTube zostały określone i wdrożone przez Google LLC (z siedzibą w USA), właściciela YouTube, a więc państwo trzecie w rozumieniu RODO;
  4. nieprawidłowo uzupełniony rejestr czynności przetwarzania:
  • brak wskazania przy czynnościach przetwarzania związanych z publikacją informacji na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazaniu planowanego terminu usunięcia danych;
  • błędnie wskazany okres planowanego usunięcia danych osobowych – wskazano na 5 letni okres przechowywania oświadczeń majątkowych radnych, zamiast okres 6 letni;
  • nie wskazano wszystkich odbiorców danych, w tym podmiotów przetwarzających;
  • nie wskazano podmiotu prowadzącego kanał YouTube, na którym dostępne są nagrania sesji Rady Miejskiej Aleksandrowa Kujawskiego.

O wymiarze kary przez PUODO zdecydował również fakt, iż Burmistrz w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego nie odniósł się do wskazanych w nim naruszeń poza kwestią związaną z terminem przechowywania danych udostępnionych na stronie internetowej BIP. Ponadto, Burmistrz w toku kontroli oraz w czasie trwania postępowania administracyjnego nie usunął wskazanych naruszeń. W ocenie POUDO działania piastuna organu miały charakter umyślny.

Autor: Monika Macudzińska – Aplikant Radcowski w Kancelarii Prawnej WEC Sroczyński i Wspólnicy Sp. k.


Wdrażamy w przedsiębiorstwach oraz jednostkach samorządu terytorialnego procedury RODO oraz przeprowadzamy audyty i szkolenia z RODO. Zapytaj o ofertę – rodo@wec-law.pl

Inne Artykuły