admin Brak komentarzy

Pierwsza kara nałożona na podmiot publiczny przez PUODO. 

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 40 000 zł. Sprawa dotyczy Urzędu Miejskiego w Aleksandrowie Kujawskim. Głównym powodem nałożenia kary było zaniedbanie przez administratora danych formalnego, umownego powierzenia przetwarzania danych firmom zewnętrznym zajmującym się techniczną oraz serwisową obsługą Biuletynu Informacji Publicznej (BIP). Prezes UODO uznał, że doszło do naruszenia zapisów art. 28 ust. 3 RODO, a w związku z tym do udostępnienia danych bez podstawy prawnej, co z kolej wpłynęło na naruszenie zasady legalności oraz poufności przetwarzania danych (odpowiednio art. 5 ust. 1 lit. a oraz f RODO).

W toku kontroli prowadzonej przez Prezesa UODO zidentyfikowano również, że administrator nie dokonywał przeglądów treści opublikowanej w BIP pod kątem jej aktualności. W BIP były dostępne oświadczenia majątkowe z 2010 roku, kiedy okres ich przechowywania wynosi sześć lat, co wynika wprost z art. 24h ust. 6 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym.

Warto w tym miejscu zwrócić uwagę na to, że jeżeli przepis nie określa wprost okresu przechowywania, administrator powinien ten okres ustalić adekwatnie do celów, w jakich przetwarza określone kategorie danych (przykładem takiej informacji publikowanej w BIP może być informacja o wynikach naboru pracownika samorządowego, gdzie przepis wskazuje minimalny okres publikacji – co najmniej trzy miesiące – zgodnie z art. 15 ust. 1 ustawy z dnia 21 listopada o pracownikach samorządowych, nie zakreśla natomiast terminu końcowego publikacji).

Nadto, Prezes UODO zakwestionował również sposób publikacji w BIP materiałów zarejestrowanych w trakcie posiedzeń rady miejskiej poprzez zamieszczenie wyłącznie linka do dedykowanego kanału na YouTube, bez posiadania przez urząd kopii tych materiałów. Podniósł również brak analizy ryzyka takiego rozwiązania. Prezes UODO wskazał w tym przypadku naruszenie zasady integralności i poufności oraz zasady rozliczalności (odpowiednio art. 5 ust. 1 lit. f oraz art. 5 ust. 2 RODO).

Co istotnie, na ostateczny rozmiar kary, miał również wpływ brak współpracy administratora z organem nadzoru.

Z pełną treścią decyzji możecie się Państwo zapoznać na stronie: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

 

Autor: Piotr Michalski