Rozszerzenie i wzmocnienie ochrony danych osobowych oznaczało dużą zmianę w funkcjonowaniu zarówno przedsiębiorstw, jak i urzędów. Obecnie za swobodne obchodzenie się z takimi danymi może oznaczać surowe konsekwencje. Przekonał się o tym Aleksandrów Kujawski. Gminę czeka pierwsza kara za naruszenie RODO wymierzona instytucji publicznej.
Kara za naruszenie RODO wymierzona urzędowi była tak naprawdę tylko kwestią czasu
Wprowadzenie RODO wymusiło na organach administracji publicznej zmianę dotychczasowych standardów w zakresie ochrony danych osobowych. Wiele instytucji potraktowało nowe przepisy śmiertelnie poważnie. Niekiedy nawet do przesady – na rozmaite absurdy RODO składały się przecież także urzędy. Niestety, niektóre organy podeszły do sprawy dość niefrasobliwie. Kwestią czasu było, aż UODO w końcu któryś ukarze. Padło na burmistrza Aleksandrowa Kujawskiego.
Jak informuje Urząd Ochrony Danych Osobowych na swojej stronie internetowej, w Aleksandrowie Kujawskim doszło o szeregu naruszeń przepisów rozporządzenia parlamentu europejskiego i rady nr 2016/679. Znanego szerzej jako RODO. Chodzi o podstawę prawną obsługiwania Biuletynu Informacji Publicznej przez wynajęte zewnętrzne firmy. Jedna z nich zapewniała urzędowi miasta miejsce na swoich serwerach na biuletyn. Druga dostarczała niezbędne oprogramowanie i zajmowała się jego serwisowaniem.
Z żadną z nich Aleksandrów Kujawski nie zawarł umowy powierzenia im danych osobowych. To z kolei UODO uznał za naruszenie art. 28 ust. 3 RODO. Zgodnie z tym przepisem, umowa a taka musi zostać zawarta pomiędzy administratorem danych osobowych a zewnętrznym podmiotem, który w jego imieniu dokonuje faktycznego ich przetwarzania. Konsekwencją braku zawarcia stosownej umowy jest brak podstawy prawnej całej czynności. To wystarczyło, by organ samorządowy spotkała pierwsza kara za naruszenie RODO, jaką urząd wymierzył podmiotowi publicznemu.
Urząd miasta w Aleksandrowie Kujawskim, zdaniem UODO, złamał szereg przepisów dotyczących ochrony danych osobowych
To jednak nie koniec, bo UODO doszukał się także innych naruszeń przepisów. Urząd miasta w Aleksandrowie Kujawskim nie dysponował chociażby procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w miejskim Biuletynie Informacji Publicznej. W szczególności zaś pod kątem ustalenia okresu ich publikowania. Nie zawsze bowiem mogą być publikowane w nieskończoność. I tak na przykład urząd doszukał się oświadczeń majątkowych z 2010 r. podczas gdy te powinny być publikowane jedynie przez 6 lat. Co więcej, w przypadkach nie uregulowanych w przepisach szczególnych, administrator powinien sam ustalić czas przechowywania i publikowania danych – ale nie dłużej, niż jest to faktycznie konieczne do realizacji ich celu.
Jakby tego było mało, urząd miasta zwykł publikować nagrania z posiedzenia rady miejskiej w serwisie YouTube. Bez tworzenia jakiejkolwiek ich kopii zapasowej. Zdaniem UODO, nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w ten sposób. Dodatkowo rejestr czynności przetwarzania okazał się być wybrakowany. Miasto nie odnotowywało w nim wszystkich odbiorców danych. W niektórych przypadkach brakowało również wskazania konkretnych terminów usunięcia poszczególnych pozycji.
Ukarany urząd nie chciał współpracować z UODO, teraz ma 60 dni na usunięcie wskazanych naruszeń
Trzeba przy tym zauważyć, że 40 tysięcy złotych nie jest wcale pobłażliwym potraktowaniem Aleksandrowa Kujawskiego. Maksymalny wymiar kary za tego typu naruszenie wynosi w końcu 100 tysięcy złotych. Kara za naruszenie RODO uwzględnia także brak podjęcia przez miasto działań zmierzających do usunięcia dostrzeżonych przez urząd naruszeń. Co więcej, miasto nie było najwyraźniej skłonne współpracować z UODO.
Oprócz konieczności zapłaty kary, na urząd miasta w Aleksandrowie Kujawskim nałożono obowiązek usunięcia wszystkich stwierdzonych naruszeń w ciągu 60 dni.
