AKTUALIZACJA: WSA w Warszawie utrzymał 40 tys. kary za nieprzestrzeganie RODO
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę złożoną przez burmistrza Aleksandrowa Kujawskiego, w której kwestionował nałożenie kary pieniężnej w wysokości 40 tys. zł przez Prezesa Urzędu Ochrony Danych Osobowych. W uzasadnieniu wyroku wskazano, że Prezes UODO prawidłowo zastosował przepisy rozporządzenia o ochronie danych osobowych, a sama decyzja UODO została zdaniem Sądu należycie uzasadniona. Sąd nie miał wątpliwości, że przepisy RODO mają zastosowanie do danych przetwarzanych w BIP. W ocenie WSA kara nałożona na burmistrza Aleksandrowa Kujawskiego nie stanowi nadmiernego obciążenia dla organu i jest adekwatna do stwierdzonych naruszeń w obszarze przetwarzania danych i tym samym nie znalazł podstaw do uchylenia zaskarżonej decyzji. Sprawa będzie miała najprawdopodobniej swój finał przed Naczelnym Sądem Administracyjnym.
Pierwsza kara za nieprzestrzeganie RODO dla podmiotu publicznego
Od 25 maja 2018 r. w Polsce, jak i innych krajach Unii Europejskiej obowiązuje rozporządzenie o ochronie danych osobowych (RODO). Regulacje zawarte w rozporządzeniu objęły zarówno podmioty prywatne, jak i publiczne.
Wymogi nowej ustawy niewątpliwie zapewniają lepszą ochronę danych osobowych, jednak część podmiotów do dziś nie poradziła sobie z realizacją części z nich.
Podkreślenia wymaga, że nie tylko prywatne firmy zmagały się ze wdrożeniem odpowiednich procedur, trudności miały także urzędy i instytucje administracji publicznej. Skalę problemu doskonale obrazuje wydana w ostatnim czasie decyzja Prezesa Urzędu Ochrony Danych Osobowych, na mocy której po raz pierwszy nałożono karę za naruszenie przepisów o ochronie danych na organ administracji samorządowej.
RODO dyrektywa - obowiązywanie w praktyce
Prezes UODO przeprowadził kontrolę przestrzegania przepisów RODO w Urzędzie Miejskim w Aleksandrowie Kujawskim, w której toku stwierdzono szereg uchybień.
Jak ustalili kontrolujący, zasoby Biuletynu Informacji Publicznej (BIP) gminy znajdują się na serwerach firmy zewnętrznej (przetwarzającego), jednak przedstawiciele gminy nie zawarli stosownej umowy o powierzeniu danych osobowych. Takowej umowy gmina nie zawarła również z firmą, która zapewniała oprogramowanie do tworzenia i obsługi biuletynu.
W ocenie Prezesa UODO został naruszony przepis ustawy, który obliguje administratora danych do zawarcia umowy powierzenia (art. 28 RODO). W konsekwencji braku takiej umowy burmistrz Aleksandrowa Kujawskiego dopuścił się udostępnienia danych bez podstawy prawnej, czym naruszył zasadę legalności i poufności danych, określonych w art. 5 ust. 1 RODO.
Nie jest to jednak jedyne naruszenie, które stwierdzono podczas kontroli w aleksandrowskim urzędzie. Prezes UODO ustalił, że w urzędzie nie obowiązywały wewnętrzne procedury dot. przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania, czym naruszono zasadę ograniczenia czasu przetwarzania.
Tytułem przykładu, w BIP były dostępne oświadczenia majątkowe z 2010 r., pomimo tego, że ich okres przechowywania wynosi 6 lat – tak więc, administrator danych przechowywał oświadczenia przez okres dłuższy niż wymaga tego ustawodawca.
Ponadto, organ naruszył zasadę integralności i rozliczalności poprzez nie dysponowanie kopiami zapasowymi z posiedzeń rady miejskiej. Z ustaleń kontrolerów UODO wynika, że publikowane w biuletynie materiały video z posiedzeń rady miejskiej były dostępne jedynie poprzez link prowadzący do dedykowanego kanału na YouTubie.
Szereg naruszeń skutkował karą w wysokości 40 tys. zł!
Prezes UODO nakładając karę finansową na urząd, wziął pod uwagę, że pomimo występujących nieprawidłowości administrator danych nie podjął żadnych działań w celu zniesienia negatywnych skutków naruszenia przepisów, ani nie wprowadził rozwiązań mających przeciwdziałać takim naruszeniom w przyszłości.
Zaskakującym w tej sprawie jest jednak to, że administrator nie współpracował w toku postępowania z organem nadzoru. Biorąc pod uwagę powyższe, Prezes UODO uznał, że nie zachodzą przesłanki, które mogłyby złagodzić wymiar kary. Poza uiszczeniem kary, organ został zobowiązany do usunięcia naruszeń w terminie 60 dni.
Kary RODO dla firm i nie tylko
To już trzecia kara finansowa nałożona przez Prezesa UODO w tym roku.
Na początku roku PUODO ukarał Spółkę Bisnode Polska, za nie dopełnienie obowiązku informacyjnego, wtedy kara nałożona przez organ nadzorczy sięgała niemal miliona złotych.
Po upublicznieniu przez Dolnośląski Związek Piłki Nożnej nadmiarowego zestawu danych osobowych PUODO nałożył na związek karę finansową sięgającą na niemal 56 tys. zł.
Kara wymierzona po kontroli w aleksandrowskim urzędzie to czytelny sygnał dla administracji publicznej, że musi ona działać w granicach prawa, inaczej naraża się na przykre konsekwencje.
