Urząd miasta też musi uważać na RODO

Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Publikacja: 06.11.2019 09:30

Odesłania w BIP do YouTube’a nie zabezpieczało odpowiednio nagrań z posiedzeń rady miejskiej

Odesłania w BIP do YouTube’a nie zabezpieczało odpowiednio nagrań z posiedzeń rady miejskiej

Foto: Shutterstock

Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO, wynika z decyzji wydanej 18 października przez prezesa Urzędu Ochrony Danych Osobowych (ZSPU.421.3.2019).

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) urzędu miejskiego. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w którego imieniu przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia.

CZYTAJ TAKŻE: Już od roku jednostki samorządu muszą sobie radzić z RODO

W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f). To jednak niejedyne naruszenia, które stwierdzono w toku postępowania kontrolnego prowadzonego przez prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi sześć lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

Link to za mało

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTubie. W urzędzie miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

CZYTAJ TAKŻE: 27 pytań o to, jak stosować RODO

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Brak współpracy

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej prezes urzędu nakazał administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń.

Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO, wynika z decyzji wydanej 18 października przez prezesa Urzędu Ochrony Danych Osobowych (ZSPU.421.3.2019).

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) urzędu miejskiego. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w którego imieniu przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia.

2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo w regionach
Plan ogólny zamiast studium. W którą stronę będzie rozwijać się Warszawa?
Materiał Promocyjny
Podróżuj ekologicznie! Program Fundusze Europejskie dla zrównoważonej mobilności
Prawo w regionach
Samorządy u progu planistycznej rewolucji
Prawo w regionach
Nowe przepisy mają pozwolić na regionalizację energetyki
Prawo w regionach
Ochrona sygnalistów. Jest nowa wersja ustawy
Materiał Promocyjny
„Skoro wiemy, że damy radę, to zróbmy to”. Oto ludzie, którzy tworzą Izerę
Prawo w regionach
Samorządy rozmawiają z rządem. M.in. o lex Czarnek 2.0 i stawce VAT na prąd
Prawo w regionach
Prawny nieład w walce ze smogiem