×
MACURA | Unikalna wiedza ekspercka

Kancelaria MACURA.
ul. Odyńca 7/13
02-606 Warszawa

T: (+48) 696-011-713
M: monika.macura@kancelariamacura.pl

Zobacz nas na:
powrót
do bloga
more

Prezes Urzędu Ochrony Danych Osobowych ponownie nakłada karę pieniężną za naruszenie przepisów RODO

Tym razem pod lupą Prezesa Urzędu znalazł się organ administracji publicznej, a dokładniej Burmistrz Aleksandrowa Kujawskiego. Prezes UODO w wyniku stwierdzonych naruszeń ukarał go karą finansową w wysokości 40.000 zł. 

Jednym z powodów nałożenia kary w tej wysokości na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.  

Prezes UODO stwierdził, że nie było umowy powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Nie została zawarta również umowa powierzenia z firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. W opinii Urzędu doszło do naruszenia art. 28 ust. 3 RODO. Zgodnie z powyższą regulacją Przepis  administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, jest zobowiązany do zawarcia z nim umowy powierzenia. 

Prezes UODO wskazał, iż w konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

W toku postępowania kontrolnego stwierdzono także, że naruszono zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO. Organ zarzucił również administratorowi, iż nie przeprowadził analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Zdaniem Prezesa Urzędu została naruszona zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Szczegółowa decyzja jest dostępna pod adresem: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 

czytaj również