Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą decyzję, w której nakłada karę na urząd publiczny.
W tym przypadku PUODO dopatrzył się nieprawidłowości w Urzędzie Miasta w Aleksandrowie Kujawskim, w którym dwie spółki obsługują stronę internetową urzędu. Pierwsza udostępniała biuletyn BIP urzędu ze swoich serwerów. Druga zaś dostarczała oprogramowanie do stworzenia BIP i serwisowała biuletyn.
PUODO stwierdził, że w żadnym z tych przypadków nie została zawarta umowa powierzenia przetwarzania danych osobowych, przez co doszło do naruszenia art. 28 ust. 3 RODO. Burmistrz dopuścił się więc udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
Kontrolerzy dopatrzyli się też nieprawidłowości w braku odpowiednich procedur dotyczących okresowych przeglądów danych prezentowanych na stronie BIP urzędu. Chodziło o przestrzeganie terminów dozwolonego przechowywania takich danych. Okazało się, że na stronie można było znaleźć np. oświadczenia majątkowe najważniejszych urzędników z 2010 r., podczas gdy dozwolony okres ich przechowywania wynosi sześć lat.
Czytaj także:
2,8 mln zł kary dla Morele.net od UODO to przestroga dla firm
Okres przechowywania danych, którego nie reguluje prawo, administrator powinien ustalić sam adekwatnie do celów, w jakich te dane przetwarza. Administrator naruszył więc także zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Kolejny zarzut dotyczył publikowania zapisów posiedzeń rady miejskiej. W BIP były dostępne jedynie linki do kanału na stronie YouTube. W urzędzie nie było zapasowych kopii nagrań. PUODO uznał, że w razie utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby nagraniami, które ma obowiązek publikować. Nie przeprowadzono również analizy ryzyka związanego z publikacją nagrań z posiedzeń rady wyłącznie w zewnętrznym serwisie. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
– To bardzo wysoka kara dla urzędu, biorąc pod uwagę, że limit kar dla administracji wynosi 100 tys. zł – komentuje Paweł Litwiński z kancelarii Barta Litwiński. – To także bardzo mocny sygnał dla sektora publicznego, że może być kontrolowany i karany za nieprawidłowości.
