JAKIE WSKAZÓWKI DLA SAMORZĄDÓW WYNIKAJĄ Z PIERWSZEJ DECYZJI PREZESA UODO NAKŁADAJĄCEJ KARĘ FINANSOWĄ NA BURMISTRZA MIASTA

KARA 40 TYS. ZŁ DLA BURMISTRZA ALEKSANDROWA KUJAWSKIEGO

za naruszenie RODO    

 

  1. Decyzja

Decyzją z dnia 18 października 2019 r. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że Burmistrz Aleksandrowa Kujawskiego naruszył przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych; dalej: RODO).

Organ nadzorczy zarzucił Burmistrzowi naruszenie art. 5 RODO – sankcjonującego zasady przetwarzania danych osobowych, art. 28 RODO – określającego zasady powierzania przetwarzania danych osobowych, art. 24 RODO – określającego podstawowe obowiązki administratora danych osobowych, art. 32 RODO – nakładającego obowiązek wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa oraz art. 30 RODO – dotyczący prowadzenia rejestru czynności przetwarzania danych osobowych. W decyzji wskazano, że przedmiotowe naruszenia polegały na:

  1. udostępnieniu danych osobowych na rzecz podmiotów prywatnych (dotyczy to spółki będącej właścicielem serwera, na którym znajdują się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim oraz konsorcjum spółek, które dostarcza oprogramowanie dotyczące tworzenia regionalnego biuletynu informacji publicznej – uw. autora) bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umów powierzania danych osobowych, o której mowa w art. 28 ust. 3 RODO, w związku z prowadzeniem strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim;
  2. braku odpowiednich polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych;
  3. nieprzeprowadzeniu analizy ryzyka związanego z korzystaniem przez Burmistrza Aleksandrowa Kujawskiego z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego;
  4. niewdrożeniu odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim;
  5. niewskazaniu w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie Biuletynu Informacji Publicznej Urzędu Miasta w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania.

W związku z wyżej wymienionymi naruszeniami, Organ Nadzorczy nakazał Burmistrzowi Aleksandrowa Kujawskiego dostosowanie operacji przetwarzania danych osobowych do przepisów RODO poprzez:

  1. zaprzestanie udostępniania danych osobowych podmiotom prywatnym bez uprzedniego zawarcia umowy powierzenia danych osobowych, w związku z prowadzeniem strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim,
  2. wdrożenie polityk określających okresy przetwarzania danych w BIP i zapewniających przestrzeganie terminów usuwania danych,
  3. przeprowadzenie analizy ryzyka w związku z publikacją nagrań sesji rady miejskiej i wdrożenie odpowiednich środków organizacyjnych i technicznych w związku z przetwarzaniem danych osobowych na kanale YouTube w związku z transmisją nagrań sesji rady miejskiej oraz przechowywaniem nagrań na serwerach YouTube,
  4. wdrożenie odpowiednich środków organizacyjnych i technicznych mających na celu zabezpieczenie danych osób fizycznych pochodzących z nagrań sesji Rady Miasta Aleksandrowa Kujawskiego poprzez zapewnienie dostępności kopii zapasowych w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim,
  5. ujęcie w rejestrze czynności przetwarzania danych osobowych, dla czynności przetwarzania związanych z prowadzeniem BIP informacji o wszystkich odbiorcach danych, którym dane zostały lub zostaną ujawnione oraz o planowanych terminach usunięcia danych.

Za stwierdzone naruszenia Organ Nadzorczy nałożył na Burmistrza Aleksandrowa Kujawskiego administracyjną karę pieniężną w wysokości 40 000 zł.

  1. Okoliczności faktyczne

Upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych pracownicy przeprowadzili kontrolę w Urzędzie Miasta Aleksandrowa Kujawskiego. W ramach kontroli ujawniono cztery podstawowe problemy, skutkujące stwierdzeniem naruszenia zasad przetwarzania ochrony danych osobowych wynikających z RODO.

  1. Brak umowy powierzenia danych z podmiotami prowadzącymi serwer BIP oraz dostawcą oprogramowania

W trakcie kontroli w Urzędzie Miasta Aleksandrowa Kujawskiego ustalono, że zasoby BIP Urzędu Miejskiego znajdują się na serwerze podmiotu zewnętrznego, który to podmiot zapewnia parametry techniczne utrzymania strony BIP na podstawie umowy łączącej Województwo Kujawsko-Pomorskie z właścicielem serwera. Przedmiotowa umowa obejmuje również zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim. Kontrolującym nie została przedstawiona aktualna umowa, zaś umowa przedstawiona w toku kontroli nie zawierała żadnych postanowień dotyczących przetwarzania danych osobowych w związku z korzystaniem przez Urząd Miejski w Aleksandrowie Kujawskim z serwera podmiotu zewnętrznego. Analogiczną sytuację kontrolujący stwierdzili w stosunku do umowy między Województwem Kujawsko-Pomorskim a dostawcą oprogramowania dotyczącego utworzenia regionalnego biuletynu informacji publicznej.

W toku kontroli nie przedstawiono kontrolującym umowy pomiędzy Województwem Kujawsko-Pomorskim a Burmistrzem Miasta Aleksandrowa Kujawskiego, ani nie wykazano innego instrumentu prawnego, z którego wynikałoby, że udostępnienie serwera oraz dostarczenia oprogramowania służącego do utworzenia biuletynu realizowane jest przez Województwo Kujawsko-Pomorskie na rzecz UM w Aleksandrowie Kujawskim. Na tej podstawie Organ Nadzorczy uznał, że Burmistrz Aleksandrowa Kujawskiego, w związku z korzystaniem z serwera podmiotu zewnętrznego oraz z usług podmiotu zewnętrznego w zakresie serwisowania strony internetowej BIP, nie zawarł umowy powierzenia przetwarzania danych osobowych, a tym samym naruszył art. 28 ust. 3 RODO.

  1. Zbyt długi okres przechowywania i publikowania danych w BIP

Drugą okolicznością ocenioną przez kontrolujących, jako naruszenie RODO  było upublicznianie przez zbyt długi okres czasu danych osobowych zawartych w oświadczeniach majątkowych oraz w informacjach o wynikach naborów na wolne stanowiska. Prezes UODO w uzasadnieniu omawianej decyzji wskazał, że zgodnie z art. 24i ustawy o samorządzie gminnym, informacje zawarte w oświadczeniach majątkowych radnych są jawne (z pewnymi wyłączeniami…), zaś zgodnie z art. 24h ust. 6 ww. ustawy, oświadczenie majątkowe przechowuje się przez 6 lat. Zdaniem urzędu przepisy te stanowią o legalności przetwarzania, w zakresie zarówno gromadzenia, jak i publikowania danych osobowych zawartych w oświadczeniach majątkowych. Kontrolujący stwierdzili tymczasem, że Burmistrz Miasta Aleksandrowa Kujawskiego nie określił w procedurach wewnętrznych terminu usuwania danych opublikowanych w BIP, jak również nie opracował procedur dotyczących przeglądu zasobów danych w materiałach opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczenia przechowywania. Na stronie BIP UM w Aleksandrowie Kujawskim publikowane były dokumenty zawierające dane osobowe przez okres dłuższy, niż wynika to z przepisów prawa określających okres przechowywania dokumentów zawierających dane osobowe. Tym samym Burmistrz Miasta Aleksandrowa Kujawskiego naruszył art. 5 ust. 1 lit. e RODO.

  1. Transmitowanie posiedzeń Rady Miasta na YouTubie – bez przeprowadzenia analizy ryzyka

Zgodnie z art. 20 ust. 1b ustawy o samorządzie gminnym, obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty.

 

 

 

Adwokat Urszula Danilczuk-Karnas

Karnas. Kancelaria Adwokacka