Pierwsza kara Prezesa UODO nałożona na podmiot publiczny
Decyzją z dnia 18 października 2019 r. (https://uodo.gov.pl/decyzje/ZSPU.421.3.2019) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 40 000 zł na Burmistrza Aleksandrowa Kujawskiego.
W dniach od 28 stycznia do 1 lutego 2019 r. przeprowadzona była kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Zakresem kontroli objęty był sposób przetwarzania danych przez Burmistrza w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych. W toku prowadzonej kontroli ustalono, że doszło do następujących naruszeń przepisów o ochronie danych osobowych:
1) udostępniania danych osobowych bez podstawy prawnej, tj. bez uprzedniego zawarcia umowy powierzenia danych osobowych, z podmiotami zapewniającymi serwer oraz dostarczającymi oprogramowanie w ramach prowadzenia strony internetowej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim;
2) brak procedur wewnętrznych dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, w wyniku czego na stronie BIP publikowane są dokumenty zawierające dane osobowe przez okres dłuższy niż wynika to z przepisów prawa;
3) niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych w związku z przechowywaniem nagrania sesji wyłącznie na serwerach YouTube, bez wykonywania kopii nagrań sesji Rady Miejskiej Aleksandrowa Kujawskiego znajdujących się we własnych zasobach urzędu;
4) nieprzeprowadzenie analizy ryzyka w związku z korzystaniem przez Burmistrza z kanału YouTube w celu realizacji obowiązku prawnego wynikającego z art. art. 8 ust. 2 ustawy o dostępie do informacji publicznej;
5) niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczone przechowywania.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Burmistrz poinformował, że w zakresie uchybień dotyczących okresu publikacji dokumentów w BIP skierował wniosek do Ministra Cyfryzacji o interpretację przepisów ustawy o dostępie do informacji publicznej oraz wniósł o zawieszenie postępowania do czasu otrzymania tej interpretacji. Do pozostałych uchybień Burmistrz nie ustosunkował się.
Jak zostało wskazane w decyzji, przy ustalaniu wysokości kary wzięte zostały pod uwagę m.in. następujące okoliczności sprawy:
– czas trwania naruszeń – stwierdzone nieprawidłowości nie zostały usunięte ani w toku kontroli przeprowadzonej u Burmistrza, ani w toku postępowania;
– brak współpracy administratora – administrator w odpowiedzi na zawiadomienie o wszczęciu postępowania nie odniósł się do wskazanych w nim naruszeń poza kwestią związaną z terminem retencji danych udostępnionych na BIP.
Oprócz kary, administrator ma 60 dni na podjęcie działań mających na celu usunięcie stwierdzonych naruszeń.
Źródło: https://www.rp.pl/…/310299900-PUODO-nalozyl-pierwsza-kare-d…