Z LEXTRA PRZY KAWIE O PRAWIE - Prezes UODO nałożył pierwszą karę pieniężną na organ publiczny za naruszenie przepisów RODO

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO

Prezes UODO nałożył kolejną karę finansową za naruszenie zasad przetwarzania danych osobowych w wysokości 40.000,00 zł na Burmistrza Aleksandrowa Kujawskiego.

Prezes UODO decyzją z dnia 18 października 2019 r. stwierdził, że Burmistrza Aleksandrowa Kujawskiego naruszył przepisy RODO, gdyż:

- nie zawarł umów powierzenia przetwarzania danych osobowych z  podmiotami prowadzącymi stronę internetową Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim;

- nie posiadał polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych;

- nie przeprowadził analizy ryzyka związanego z korzystaniem przez Burmistrza Aleksandrowa Kujawskiego z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego;

- nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim;

- nie wskazał w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie Biuletynu Informacji Publicznej Urzędu Miasta w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz nie wskazał dla tych czynności przetwarzania planowanego terminu usunięcia danych. 

W rezultacie ww. naruszeń Burmistrz został zobowiązany do usunięcia ww. naruszeń w terminie 60 dni od dnia, w którym decyzja stanie się ostateczna oraz został zobowiązany do zapłaty kary pieniężnej w wysokości 40.000,00 zł. Co ciekawe zgodnie z art. 102 ustawy o ochronie danych osobowych, kara może być ograniczona do wysokości 100.000 zł, gdy jest nakładana na jednostkę samorządu terytorialnego. Takiego ograniczenia nie ma w przypadku administratorów prywatnych

Na podstawie wydanej decyzji UODO można określić jakie okoliczności Prezes UODO bierze pod uwagę ustalając wysokość kary pieniężnej. Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejsze Prezes UODO w tej sprawie uznał poważny charakter naruszenia wynikający z udostępnienia danych osobowych bez podstawy prawnej innym podmiotom oraz naruszenie zasady rozliczalności. Ponadto, Prezes Urzędu wziął pod uwagę, iż oceniany organ jest jednostką sektora publicznego, a szacując wysokość kary wziął pod uwagę także wysokość jej budżetu na rok 2018 r., sposób jego realizacji oraz budżet na rok 2019 r. Prezes UODO zwrócił również uwagę, że naruszenia nie zostały usunięte w toku kontroli, dlatego nie złagodzono kary. Nakładając decyzją administracyjną karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych wziął pod uwagę oba aspekty: po pierwsze - charakter represyjny, Burmistrz naruszył przepisy ogólnego rozporządzenia o ochronie danych, po drugie - charakter prewencyjny, zarówno Burmistrz, jak i inni administratorzy, będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych, jednocześnie dokładając większej staranności przy realizacji swoich obowiązków wynikających z ogólnego rozporządzenia o ochronie danych.

Treść decyzji dostępna tutaj.