Pierwsza kara za naruszenie RODO dla organu administracji

W przedmiotowej sprawie Prezes UODO przeprowadził kontrolę przestrzegania przepisów w Urzędzie Miejskim w Aleksandrowie Kujawskim.

Nie było umowy

W jej toku ustalono, że zasoby Biuletynu Informacji Publicznej (BIP) gminy znajdują się ma serwerach firmy zewnętrznej – a zatem przetwarzającego – z którym gmina nie zawarła umowy o powierzenie danych osobowych.

Taki obowiązek nakłada na administratora danych, którym w tym wypadku była właśnie gmina Aleksandrów Kujawski, art. 28 RODO.

Nie zawarto także analogicznej umowy z firmą, która zapewniała oprogramowanie do obsługi BIP.

W konsekwencji Prezes UODO uznał, że powierzenie danych nastąpiło bez podstawy prawnej, naruszając tym samym zasadę legalności i poufności danych, określonych w art. 5 ust. 1 RODO.

Brak procedur wewnętrznych

W toku kontroli zauważono również naruszenie zasady ograniczenia czasu przetwarzania poprzez brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania.

Skutkowało to przechowywaniem oświadczeń majątkowych przez okres dłuższy niż wynikający z obowiązku ustawowego.

Ponadto, naruszono zasadę integralności danych i rozliczalności administratora przez brak utrzymywania odpowiednich kopii zapasowych danych, do przetwarzania których zobligowana była gmina.

Prezes UODO nałożenie kary w kwocie 40 tysięcy złotych uzasadniał m.in. faktem braku chęci współpracy administratora z organem ochrony danych i brakiem podjęcia działań w celu zniesienia negatywnych skutków naruszenia przepisów RODO.

Piotr Gałązka, adwokat, ekspert ds. UE, pełniący funkcję Dyrektora Przedstawicielstwa ZBP w Brukseli