Prezes Urzędu Ochrony Danych Osobowych ponownie nakłada karę pieniężną za naruszenie przepisów RODO

Tym razem pod lupą Prezesa Urzędu znalazł się organ administracji publicznej, a dokładniej Burmistrz Aleksandrowa Kujawskiego. Prezes UODO w wyniku stwierdzonych naruszeń ukarał go karą finansową w wysokości 40.000 zł. 

Jednym z powodów nałożenia kary w tej wysokości na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.  

Prezes UODO stwierdził, że nie było umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Nie została zawarta również umowa powierzenia z firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. W opinii Urzędu doszło do naruszenia art. 28 ust. 3 RODO. Zgodnie z powyższą regulacją Przepis  administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, jest zobowiązany do zawarcia z nim umowy powierzenia. 

Prezes UODO wskazał, iż w konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

W toku postępowania kontrolnego stwierdzono także, że naruszono zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO. Organ zarzucił również administratorowi, iż nie przeprowadził analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Zdaniem Prezesa Urzędu została naruszona zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Szczegółowa decyzja jest dostępna pod adresem: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 

 

20.10.2019 r. 

DANE KONTAKTOWE

kancelaria

ul. Odyńca 7/13
02-606 Warszawa

BĄDŹMY W KONTAKCIE

Dzielimy się naszą fachową wiedzą oraz doświadczeniem.Bądź pierwszym, który się dowie o naszych inicjatywach, spotkaniach ze specjalistami Kancelarii i zmianach w prawie, istotnych dla działalności Twojej branży. Zachęcamy do lektury i subskrypcji naszego newslettera.

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Kancelarii Radcy Prawnego Monika Macura newslettera drogą e-mailową. Zgodę można wycofać w każdym czasie. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Zapoznaj się z zasadami przetwarzania Twoich danych osobowych.