| Źródło: uodo.gov.pl
PRZESTROGA DLA URZĘDNIKÓW I SAMORZĄDOWCÓW W POWIECIE SUSKIM - Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny
Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
To jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego prowadzonego przez Prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.
Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Decyzja dostępna jest na stronie uodo.gov.pl/decyzje/ZSPU.421.3.2019
Opublikowano: 30.10.2019
zdjęcie: źródło informacji (na zdjęciu Prezes UODO Jan Nowak)
OD REDAKCJI
Interesujące jest to, jak w powiecie suskim rozliczają się z RODO wszystkie urzędy i instytucje publiczne wszechwładnie publikujące na platformie YouTube oraz Facebook należących do amerykańskich koncernów wydawniczych? Tutaj czytelnikom warto nadmienić, że prawie wszystkie urzędy, szpitale, szkoły, stowarzyszenia - publikują bez opamiętania z naruszeniem bardzo nagminnie regulaminu platformy wydawniczej Facebook należącej do amerykańskiego koncernu Facebook Inc. (nagminnie łamiąc prawo polskie i prawo określone regulaminem platformy Facebook).Tylko patrzeć, jak Prezes UODO zacznie karać za łamanie ustawy o RODO.
Wszyscy urzędnicy, pracownicy instytucji publicznych - mają obowiązki wobec RODO ale je notorycznie łamią poprzez m.in. przekazywanie informacji z zasobów urzędowych i instytucjonalnych na rzecz amerykańskich koncernów wydawniczych. Wkrótce powrócimy do tematu.
Dyrektorzy bibliotek, ośrodków kultury, szkół - mają wiele na sumieniu - bo dopuszczają do publikowania danych osobowych, zdjęć - na m.in. platformie Facebook - ale o tym także wkrótce na portalu.
POLECANE ARTYKUŁY: NIK o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego >>; RODO w szkole >>; Wytyczne Europejskiej Rady Ochrony Danych dotyczące terytorialnego zakresu stosowania RODO >>; Zmieniony wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych >>; Kara za niewystarczające zabezpieczenia organizacyjne i techniczne >>; Czy rady powiatu, gmin w powiecie suskim respektują prawa obywatelskie? >>; Jesteś operatorem witryny i umieściłeś na witrynie "Lubię to" Facebooka - musisz to wiedzieć! >>
Napisz komentarz
Komentujesz jako: Gość Facebook Zaloguj