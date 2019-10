40 tysięcy złotych kary na burmistrza Aleksandrowa Kujawskiego za nieprzestrzeganie RODO nałożył Urząd Ochrony Danych Osobowych - poinformował urząd w środowym komunikacie. To pierwsza taka kara dla podmiotu publicznego.

Jak podano, jednym z powodów nałożenia kary na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim.

Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia przepisu RODO, który zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Duża kara za naruszenie RODO. "Wyciekły dane ponad dwóch milionów osób" Prezes Urzędu Ochrony Danych Osobowych nałożył ponad 2,8 miliona złotych kary na... zobacz więcej »

W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem oraz zasadę poufności.

Przechowywanie danych

Według UODO to nie są jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego. Ustalono także brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania.

To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych.

W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania.

Nagrania tylko na YouTube

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Milion złotych kary za naruszenie RODO. "Decyzja jest bardzo kontrowersyjna" - Decyzja jest bardzo kontrowersyjna - w ten sposób skomentował pierwszą karę za... zobacz więcej »

Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube.

Jak podano, prezes UODO nakładając karę wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora ani nie wdrożył rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.



Oprócz kary pieniężnej, UODO nakazał administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Urząd Miasta w Aleksandrowie Kujawskim na razie nie komentuje sprawy decyzji UODO dotyczącej kary.