Pierwsza kara pieniężna dla podmiotu publicznego za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył na Burmistrza Aleksandrowa Kujawskiego karę w wysokości 40 tys. zł. Jednym z powodów decyzji było zaniechanie zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotami, którym burmistrz przekazywał dane. Mowa o firmie, na której serwerach znajdowały się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim. Umowa nie została zawarta także z firmą dostarczającą oprogramowanie do stworzenia BIP i świadczącą obsługę serwisową w tym zakresie. Burmistrz tym samym udostępnił dane osobowe bez podstawy prawnej, naruszając zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Do pozostałych naruszeń stwierdzonych przez Prezesa UODO należy także niedochowanie procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. W tym kontekście Prezes UODO wskazał, że Administrator ma obowiązek sam ustalić okres przechowywania danych, gdy okres ten nie jest regulowany przez prawo. Zaniechanie takich działań oznaczało naruszenie zasady ograniczonego przechowywania, o której mowa w art. 5 ust. 1 lit. e RODO. Warto wspomnieć, że dodatkowo materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do kanału na YouTube, bez dysponowania przez Urząd Miejski kopiami zapasowymi tych nagrań, co w przypadku utraty danych zapisanych na YouTube oznaczałoby niedysponowanie tymi nagraniami przez administratora.

Przy ustalaniu wysokości kary Prezes UODO wziął pod uwagę to, że administrator, mimo stwierdzonych w toku postępowania nieprawidłowości, nie doprowadził do ich usunięcia, ponadto nie wdrożył żadnych rozwiązań w celu przeciwdziałania w przyszłości tego typu naruszeniom i nie współpracował z organem nadzoru.