Temat: Kara za naruszenie RODO wymierzona urzędowi była tak...

Rozszerzenie i wzmocnienie ochrony danych osobowych oznaczało dużą zmianę w funkcjonowaniu zarówno przedsiębiorstw, jak i urzędów. Obecnie za swobodne obchodzenie się z takimi danymi może oznaczać surowe konsekwencje. Przekonał się o tym Aleksandrów Kujawski. Gminę czeka pierwsza kara za naruszenie RODO wymierzona instytucji publicznej.

Kara za naruszenie RODO wymierzona urzędowi była tak naprawdę tylko kwestią czasu.
Wprowadzenie RODO wymusiło na organach administracji publicznej zmianę dotychczasowych standardów w zakresie ochrony danych osobowych. Wiele instytucji potraktowało nowe przepisy śmiertelnie poważnie. Niekiedy nawet do przesady – na rozmaite absurdy RODO składały się przecież także urzędy. Niestety, niektóre organy podeszły do sprawy dość niefrasobliwie. Kwestią czasu było, aż UODO w końcu któryś ukarze. Padło na burmistrza Aleksandrowa Kujawskiego.

Jak informuje Urząd Ochrony Danych Osobowych na swojej stronie internetowej, w Aleksandrowie Kujawskim doszło o szeregu naruszeń przepisów rozporządzenia parlamentu europejskiego i rady nr 2016/679. Znanego szerzej jako RODO. Chodzi o podstawę prawną obsługiwania Biuletynu Informacji Publicznej przez wynajęte zewnętrzne firmy. Jedna z nich zapewniała urzędowi miasta miejsce na swoich serwerach na biuletyn. Druga dostarczała niezbędne oprogramowanie i zajmowała się jego serwisowaniem.

Z żadną z nich Aleksandrów Kujawski nie zawarł umowy powierzenia im danych osobowych. To z kolei UODO uznał za naruszenie art. 28 ust. 3 RODO. Zgodnie z tym przepisem, umowa a taka musi zostać zawarta pomiędzy administratorem danych osobowych a zewnętrznym podmiotem, który w jego imieniu dokonuje faktycznego ich przetwarzania. Konsekwencją braku zawarcia stosownej umowy jest brak podstawy prawnej całej czynności. To wystarczyło, by organ samorządowy spotkała pierwsza kara za naruszenie RODO, jaką urząd wymierzył podmiotowi publicznemu.

Urząd miasta w Aleksandrowie Kujawskim, zdaniem UODO, złamał szereg przepisów dotyczących ochrony danych osobowych.

To jednak nie koniec, bo UODO doszukał się także innych naruszeń przepisów. Urząd miasta w Aleksandrowie Kujawskim nie dysponował chociażby procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w miejskim Biuletynie Informacji Publicznej. W szczególności zaś pod kątem ustalenia okresu ich publikowania. Nie zawsze bowiem mogą być publikowane w nieskończoność. I tak na przykład urząd doszukał się oświadczeń majątkowych z 2010 r. podczas gdy te powinny być publikowane jedynie przez 6 lat. Co więcej, w przypadkach nie uregulowanych w przepisach szczególnych, administrator powinien sam ustalić czas przechowywania i publikowania danych – ale nie dłużej, niż jest to faktycznie konieczne do realizacji ich celu.

Jakby tego było mało, urząd miasta zwykł publikować nagrania z posiedzenia rady miejskiej w serwisie YouTube. Bez tworzenia jakiejkolwiek ich kopii zapasowej. Zdaniem UODO, nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w ten sposób. Dodatkowo rejestr czynności przetwarzania okazał się być wybrakowany. Miasto nie odnotowywało w nim wszystkich odbiorców danych. W niektórych przypadkach brakowało również wskazania konkretnych terminów usunięcia poszczególnych pozycji.
...
https://bezprawnik.pl/kara-za-naruszenie-rodo/