To pierwsza tego typu kara dla podmiotu publicznego w Polsce. Prezes UODO nałożył na burmistrza Aleksandrowa Kujawskiego karę w kwocie 40 tyś zł.
Za co została nałożona kara?
Jednym z powodów nałożenia kary na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym powierzał dane osobowe. Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z druga firmą, która dostarczała oprogramowanie do stworzenia serwisowania BIP i zajmowała się obsługą serwisową w tym zakresie.
Warto w tym miejscu wskazać, że zgodnie z art. 28 ust. 3 RODO, przetwarzanie przez Podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego oraz wiążą podmiot przetwarzający i administratora, określając tym samym przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora.
W rozumieniu tego artykułu, administrator, który powierza przetwarzanie danych osobowych innym podmiotom, jest zobowiązany do zawarcia takiej umowy. W tym przypadku obowiązek zawarcia umowy leżał po stronie burmistrza. Co ważne, jedynie umowa zawarta na piśmie, zawierająca zakres i cel, w jakim dane osobowe będą przetwarzane, będzie miała moc prawną.
W związku z brakiem takiej umowy, Prezes UODO uznał więc, że doszło do naruszenia przepisu RODO. Brak umowy powierzenia spowodował naruszenie art. 5 ust. 1 lit. a) RODO, mówiącego o zasadach przetwarzania danych zgodnie z prawem oraz art. 5 ust. 1 lit. f) RODO, określającego zasady poufności danych.
Czy nałożona kara była tylko, wynikiem braku podpisania umowy powierzenia?
Według Prezesa UODO to niejedyne naruszenie jakie zostało stwierdzone podczas przeprowadzanej kontroli. W toku postępowania kontrolnego stwierdzono także, że brakuje procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. Brak odpowiednich procedur spowodował sytuację, w której w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e) RODO, w którym jest mowa o tym, iż dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów w których dane te są przetwarzane.
W czasie prowadzonej kontroli stwierdzono również, że zarejestrowane materiały audiowizualne z posiedzeń rady miejskiej, umieszczone zostały w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby kopiami zapasowymi tychże nagrań. Na gruncie wszczętego postępowania kontrolnego ustalono także, że przetwarzanie danych osobowych w Gminie Aleksandrów Kujawski nie wiązało się z realizacją obowiązku przeprowadzenia analizy ryzyka, związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności art. 5 ust. 1 lit. f) RODO w którym jest mowa o tym, iż dane osobowe musza być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Co więcej, zaniechania Gminy naruszały także realizację zasady rozliczalności, określonej w art. 5 ust 2 RODO. Ostatecznie zaniechania Gminy koncentrowały się wokół braków istotnych zapisów w rejestrze czynności przetwarzania. Nie sposób było we wskazanym rejestrze zdefiniować wszystkich odbiorców danych osobowych, którym Gmina dane te powierzała, co w kontekście art. 83 ust. 4 pkt a) RODO wiąże się ze słuszną represją Organu Nadzorczego. Postępowanie kontrolne ujawniło także, że dokumentacja Gminy nie określała planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Kluczowym jest w tym miejscu zauważyć, że zasada rozliczalności dotyczy w szczególności informowania osób, których dane dotyczą o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których dane dotyczą. Innymi słowy, realizacja zasady rozliczalności wiąże się z zagwarantowaniem prawa takich osób do uzyskania potwierdzenia, czy dane tych osób są przetwarzane, a jeżeli tak, udzieleniem rzetelnej i kompleksowej informacji jakie są cele, zakres i kontekst przetwarzania tych danych.
Co dalej?
Prezes Ochrony Danych Osobowych nakazał administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w terminie 60 dni. Nakładając karę finansową PUODO wziął pod uwagę że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora. Kluczowym jest również zauważenie, że Administrator nie wdrożył rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z Organem Nadzorczym, w żaden sposób nie partycypował w postępowaniu, mającym na celu zminimalizowaniu skutków naruszeń. Z tych względów Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary. W decyzji Prezes UODO wskazał także, że w związku z nałożoną karą, Burmistrz, jak i inni administratorzy, będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych, jednocześnie dokładając większej staranności przy realizacji swoich obowiązków wynikających z ogólnego rozporządzenia o ochronie danych. Pozostaje sobie jedynie zadać pytanie, czy kara ta skutecznie zniechęci administratorów do łamania przepisów RODO?
Źródła :
https://uodo.gov.pl/pl/138/1240
https://uodo.gov.pl/decyzje/ZSPU.421.3.2019
https://www.prawo.pl/samorzad/kara-prezesa-uodo-dla-urzedu-za-naruszenie-rodo,495614.html
https://gospodarka.dziennik.pl/news/artykuly/611612,pierwsza-kara-za-nieprzestrzeganie-rodo.html