Kodeks RODO dla placówek medycznych

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

Prezes Urzędu Ochrony Danych Osobowych zadecydował o nałożeniu czwartej kary pieniężnej za naruszenie przepisów ogólnego rozporządzenia o ochronie danych. Sankcja jest wyjątkowa, ponieważ po raz pierwszy ukarany został podmiot publiczny. Karę w wysokości 40.000 zł otrzymał burmistrz Aleksandrowa Kujawskiego w woj. kujawsko-pomorskim.

W toku prowadzonego postępowania przedstawiciele UODO dopatrzyli się następujących naruszeń:

  • brak umowy powierzenia przetwarzania danych osobowych z firmą, na serwerach której Urząd Miejski w Aleksandrowie Kujawskim prowadził Biuletyn Informacji Publicznej (BIP),
  • brak procedur wskazujących, jak długo na stronach BIP miałyby być publikowane dokumenty zawierające dane osobowe; w konsekwencji w BIP-ie dostępne były oświadczenia majątkowe z 2010 r., podczas gdy okres ich przechowywania, zgodnie z przepisami sektorowymi, wynosi 6 lat,
  • brak analizy ryzyka związanej z publikacją nagrań z posiedzeń rady miejskiej w serwisie YouTube i brak kopii zapasowych tych nagrań,
  • rejestr czynności przetwarzania nie zawierał wszystkich odbiorców danych, brakowało także planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Ponieważ urzędnicy, pomimo stwierdzonych naruszeń, nie usunęli nieprawidłowości, nie wdrożyli rozwiązań mających przeciwdziałać naruszeniom w przyszłości ani nie współpracowali z organem nadzoru, Prezes UODO zadecydował o nałożeniu kary pieniężnej w wysokości 40.000 zł. Urząd ma także 60 dni na usunięcie stwierdzonych naruszeń.

Zgodnie z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych maksymalna wysokość kary, jaką Prezes UODO może nałożyć na jednostki sektora finansów publicznych za naruszenie RODO, wynosi 100.000 zł.

Czwarta nałożona w Polsce kara powinna być dla wszystkich administratorów danych (nie tylko z sektora publicznego) przypomnieniem; PUODO wyraźnie daje do zrozumienia, że niezawieranie umów powierzenia zgodnie z  art. 28 RODO może rodzić poważne konsekwencje.

Autor: Adam Klimowski, prawnik, JAMANO Sp. z o.o.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *