Pierwsza gmina ukarana za niestosowanie przepisów RODO

Pierwsza kara finansowa dla jednostki samorządu terytorialnego za naruszenie rozporządzenia ogólnego o ochronie danych osobowych (RODO).

Prezes Urzędu Ochrony Dany Osobowych nałożył pierwszą administracyjną karę pieniężną w wysokości 40 000 zł na władze gminy za niestosowanie przepisów o ochronie danych osobowych. Sankcja została zastosowana wobec burmistrza, któremu zarzucono m.in. naruszenie art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych (RODO), tj. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 RODO poprzez udostępnianie danych osobowych przedsiębiorcom prowadzącym na rzecz Urzędu stronę internetową BIP bez podstawy prawnej (jedna z firm udostępniała biuletyn BIP urzędu ze swoich serwerów, natomiast druga dostarczała oprogramowanie do stworzenia BIP i serwisowała biuletyn).

Istota naruszenia po stronie gminy sprowadzała się do udostępnienia kontrahentom, bez uprzedniego zawarcia z tymi podmiotami, umów powierzenia danych osobowych w związku z prowadzeniem strony internetowej BIP. Zgodnie bowiem z art. 28 ust. 3 RODO umowa taka musi zostać zawarta pomiędzy administratorem danych osobowych a zewnętrznym podmiotem, który w jego imieniu dokonuje faktycznego ich przetwarzania.

W ocenie organu wadze gminy dopuściły się także naruszenia zasady ograniczenia przechowywania danych osobowych poprzez brak wdrożenia odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych. Na stronie gminy można było bowiem znaleźć m.in. oświadczenia majątkowe najważniejszych urzędników z 2010 r., podczas gdy dozwolony okres ich przechowywania wynosi sześć lat.

Co ciekawe, w postępowaniu przeprowadzonym przez Prezesa UODO weryfikacją objęte zostały także nagrania z sesji rady gminy. W ocenie organu, burmistrz dopuścił się również naruszenia zasady integralności i poufności z uwagi na nieprzeprowadzenie analizy ryzyka związanego z korzystaniem z kanału YouTube w celu transmisji nagrań z obrad rady gminy oraz zasady integralności i poufności poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych gminy..

Zastosowana sankcja finansowa jest wysoka, bowiem limit kar za naruszenie RODO dla organów administracji samorządowej wynosi 100.000 zł. Oprócz kary pieniężnej organ nakazał administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Zastosowane środki świadczą o tym, że Prezes UODO zamierza z pełną rzetelnością weryfikować stosowanie nowych przepisów o ochronie danych osobowych nie tylko przez przedsiębiorców, ale przez wszystkie instytucje dysponujące danymi osobowymi na dużą skalę.