Urząd miasta też musi uważać na RODO

Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Publikacja: 06.11.2019 09:30

Odesłania w BIP do YouTube’a nie zabezpieczało odpowiednio nagrań z posiedzeń rady miejskiej

Odesłania w BIP do YouTube’a nie zabezpieczało odpowiednio nagrań z posiedzeń rady miejskiej

Foto: Shutterstock

MirosłAw Hutyrko

Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO, wynika z decyzji wydanej 18 października przez prezesa Urzędu Ochrony Danych Osobowych (ZSPU.421.3.2019).

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) urzędu miejskiego. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w którego imieniu przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia.

CZYTAJ TAKŻE: Już od roku jednostki samorządu muszą sobie radzić z RODO

W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f). To jednak niejedyne naruszenia, które stwierdzono w toku postępowania kontrolnego prowadzonego przez prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi sześć lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

Link to za mało

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTubie. W urzędzie miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

CZYTAJ TAKŻE: 27 pytań o to, jak stosować RODO

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Brak współpracy

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej prezes urzędu nakazał administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: regiony.rp.pl

Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO, wynika z decyzji wydanej 18 października przez prezesa Urzędu Ochrony Danych Osobowych (ZSPU.421.3.2019).

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) urzędu miejskiego. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w którego imieniu przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Kraków
Prawo w regionach
Samorządowa obywatelska inicjatywa uchwałodawcza to najprostsza droga do chaosu
Wykup samochodu z leasingu – co warto wiedzieć?
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Samorządowcy z różnych organizacji przedstawili swoje oczekiwania wobec nowego Sejmu oraz wyłonioneg
Prawo w regionach
Samorządowcy chcą więcej pieniędzy i samodzielności
Prace nad nowym studium dla Warszawy rozpoczęły się jeszcze w 2018 r.
Prawo w regionach
Plan ogólny zamiast studium. W którą stronę będzie rozwijać się Warszawa?
Władze Radomia zwracają uwagę, że gminy będą musiały dodatkowo do końca 2025 r. przygotować strategi
Prawo w regionach
Samorządy u progu planistycznej rewolucji
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe
Advertisement
W teorii samorządy miałyby kupować energię z klastrów, w praktyce przepisy mogą to uniemożliwić
Prawo w regionach
Nowe przepisy mają pozwolić na regionalizację energetyki
Nowy samochód do 100 tys. zł – przegląd ofert dilerów
Materiał Promocyjny
Nowy samochód do 100 tys. zł – przegląd ofert dilerów
e-Wydanie