Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę na pierwszą instytucję samorządową za naruszenie RODO w kwocie 40 tys. zł. Co istotne, kara ta dotyczy kwestii, które mogą być uznane za sporne.
Kara to dotyczy bowiem przekazywania danych osobowych podmiotowi zewnętrznemu bez umowy powierzenia, a także przekroczenie dopuszczalnego okresu przechowywania oświadczeń majątkowych.
Przy nakładaniu kary wzięto pod uwagę, że pomimo stwierdzonych nieprawidłowości, nie zostały one usunięte przed administratora w toku postępowania. Innymi słowy administrator nie współpracował z organem nadzoru. Nałożona kara stanowi 40% stawki maksymalnej w sektorze publicznym. Ukarany organ musi także w ciągu 60 dni usunąć stwierdzone naruszenia.
Kara została nałożona w związku z brakiem umowy powierzenia, która powinna zostać zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej. Takiej umowy nie zawarto również z dostawcą oprogramowania do stworzenia BIP i zajmowało się obsługą serwisową w tym zakresie. W efekcie doszło do udostępnienia danych osobowych bez podstawy prawnej. Naruszenie to ma zatem charakter poważny.
W trakcie kontroli ustalono także, że brakowało procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. W efekcie, w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. co wynika z przepisów sektorowych. Natomiast w przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić, adekwatnie do celów, w jakich je przetwarza. Kwestia ta nie jest jednak całkowicie jednoznaczna. W tym zakresie spierają się bowiem dwie wartości, tj. minimalizacja okresu przechowywania danych oraz dostęp do informacji publicznej. Należy jednak przychylić się do poglądu, że skoro naruszono zasadę minimalizacji danych i zbyt długo udostępniano oświadczenia to kara była zasadna – niezależnie od kwestii istnienia lub nie procedur w tym zakresie.
W trakcie postępowania ustalono jeszcze jedną istotną kwestię. Zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Brak było jakichkolwiek kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby więc nagraniami. Nie przeprowadzono także analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. W tym zakresie także doszło zatem do naruszenia RODO, w tym zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO). Według UODO zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Przedstawiona powyżej decyzja daje obraz jak wiele elementów należy brać pod uwagę podczas kompleksowego wprowadzania RODO (GDPR). Jeśli potrzebujesz pomocy w tym zakresie zapraszam do kontaktu. Nasza oferta obejmuje kompleksowe wdrożenie RODO, pełnienie funkcji IOD, audyty oraz szkolenia. Siedziba Kancelarii znajduje się w Częstochowie, jednak świadczymy usługi na terenie całej Polski.