22.11.2019


Burmistrz ukarany za naruszenie RODO

KATEGORIA: Praktyka

Zakres zastosowania RODO[1] obejmuje wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe. W razie wystąpienia nieprawidłowości w procesie przetwarzania danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (dalej jako „UODO”) może nałożyć administracyjną karę pieniężną. W zeszłym tygodniu, po raz pierwszy od momentu wejścia w życie RODO doszło do wymierzenia kary pieniężnej organowi jednostki samorządu terytorialnego. Dotychczas adresatami takich decyzji były podmioty prywatne.

Stan faktyczny

Decyzja Prezesa UODO zapadła na podstawie następujących ustaleń faktycznych. W wyniku kontroli przeprowadzonej przez pracowników UODO wykryto nieprawidłowości w działalności Urzędu Miejskiego w Aleksandrowie Kujawskim związane z naruszeniem zasad ochrony danych osobowych. Stwierdzone uchybienia dotyczyły w głównej mierze wadliwego funkcjonowania Biuletynu Informacji Publicznej. Dane osobowe zostały przekazane spółce dostarczającej serwer dla strony internetowej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim bez uprzedniego zawarcia umowy powierzenia przetwarzania danych osobowych. Brakowało także umowy powierzenia przetwarzania z drugim podmiotem, który dostarczał oprogramowanie do tworzenia BIP. Po wtóre, na stronie BIP oświadczenia majątkowe radnych były publikowane przez okres dłuższy niż przewidziany przepisami prawa. Kontrolerzy UODO stwierdzili, że nie analizowano czy dane osobowe opublikowane w BIP powinny zostać usunięte w związku z upływem czasu. Niezależnie od powyższego w toku kontroli stwierdzono także, że nagrania z sesji Rady Miejskiej dostępne były wyłącznie w serwisie YouTube i Urząd Miejski nie posiadał kopii zapasowych tych nagrań. Ponadto w rejestrze czynności przetwarzania danych osobowych zabrakło niektórych odbiorców danych osobowych oraz planowanego terminu usunięcia części danych osobowych.

Stanowisko Prezesa UODO

Administrator może przetwarzać dane osobowe samodzielnie lub powierzyć ich przetwarzanie innemu podmiotowi. Taka sytuacja miała miejsce w przedmiotowej sprawie, gdyż do obsługi BIP zaangażowano zewnętrzne podmioty i wiązało się to z przekazaniem danych osobowych tym podmiotom. W rezultacie Burmistrz Aleksandrowa Kujawskiego był zobowiązany do podpisania umowy powierzenia przetwarzania danych, która w szczególności umożliwiałaby mu kontrolę procesu przetwarzania realizowanego przez podmioty zewnętrzne. Zgodnie z art. 28 ust. 3 RODO, jeżeli administrator powierza innemu podmiotowi czynności z zakresu przetwarzania danych osobowych, zawarcie umowy powierzenia przetwarzania danych osobowych jest obowiązkowe. Z kolei okoliczność, że na stronie internetowej BIP znajdowały się oświadczenia majątkowe radnych mimo upływu ustawowego okresu ich udostępniania, Prezes UODO uznał za naruszenie zasady ograniczonego przechowywania danych osobowych. Skoro w myśl art. 24h ust. 6 ustawy o samorządzie gminnym, oświadczenia majątkowe radnych przechowuje się przez 6 lat, to po upływie tego okresu powinny być usuwane stosownie do zasady ograniczonego przechowywania. Odnośnie publikacji nagrań z sesji Rady Miejskiej wyłącznie na serwisie YouTube w połączeniu z brakiem kopii zapasowych takich nagrań, Prezes UODO ocenił, że brak kopii nagrań z sesji rady miejskiej może zwiększać ryzyko utraty danych osobowych. Podkreślić należy, że w przypadku utraty danych z serwisu YouTube, może dojść do całkowitej utraty tych danych osobowych. W takim przypadku w ocenie Prezesa UODO nie będzie „możliwości zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”. Rejestr czynności przetwarzania z kolei jest podstawowym dokumentem potwierdzającym zachowanie zasady rozliczalności z art. 5 ust. 2 RODO. Administrator zobowiązany jest zapewnić, aby informacje w rejestrze były kompletne, a okresy przechowywania danych osobowych zgodne z przepisami prawa.

Podsumowanie

W analizowanej sprawie kontrola w Urzędzie Miejskim zakończyła się w dniu 1 lutego 2019 r., w czerwcu 2019 roku Prezes UODO wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności niniejszej sprawy, a analizowana decyzja administracyjna została wydana dopiero pod koniec października br. Tym samym od chwili zakończenia kontroli administrator miał wiele miesięcy na analizę wyników kontroli i podjęcie czynności naprawczych. Ponownie należy podkreślić, że art. 5 ust. 2 RODO obciąża administratora ciężarem dowodu, że proces przetwarzania danych osobowych był prawidłowo zorganizowany i zgodny z prawem. Każdy administrator ma prawo stosować własne rozwiązania, ale z uwzględnieniem przepisów RODO. W postępowaniu przed Prezesem UODO administrator musi wykazać w szczególności, że dołożył należytej staranności i przestrzegał wszystkich zasad ochrony danych osobowych.

 


[1]  Rozporządzenie Parlamentu Europejskiego  i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)



Autor:
Urszula Szefler

radca prawny w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu, specjalizuje się w prowadzeniu sporów sądowych i bieżącej obsłudze przedsiębiorców ze szczególnym uwzględnieniem prawa pracy



Maciej Szczubełek

asystent w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu, interesuje się prawem cywilnym


TAGI: Kary pieniężne, Ochrona danych osobowych, Rada gminy,



Tekst pochodzi z portalu Prawo Dla Samorządu