Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę na instytucję samorządową. Aleksandrów Kujawski ma zapłacić 40 tysięcy złotych za to, że nie zawarł umowy powierzenia przetwarzania danych osobowych oraz za zbyt długi czas publikowania oświadczeń majątkowych. Czy to dopiero początek kar za naruszenie RODO? Zapraszam do zapoznania się z dzisiejszym wpisem.
Wysoka kara
Prezes UODO, nakładając karę, wziął pod uwagę fakt, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Oprócz kary pieniężnej, prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni. Sama kara jest wysoka, gdyż jest to 40 proc. maksymalnej stawki w sektorze publicznym. Zgodnie bowiem z art. 102 ustawy o ochronie danych osobowych prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski – maksymalnie 100 tys. złotych kary.
Umowa powierzenia
Kara została nałożona za brak umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z innym przedsiębiorstwem, które dostarczało oprogramowanie do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy – burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem oraz zasadę poufności.
Przedawnione oświadczenia
W toku postępowania UODO ustalił także, że brakowało procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Nie wiesz jak przetwarzać dane osobowe? Skontaktuj się z Kancelarią Prawną AGMA.