Urzędnicy ukarani za naruszenie przepisów RODO

Pierwsza w Polsce sankcja nałożona na podmiot publiczny w wyniku postępowania kontrolnego prowadzonego przez Prezesa UODO wynosi aż 40 000 zł. To niemało, biorąc pod uwagę, że maksymalna kwota kary administracyjnej, jaką dysponuje Prezes Urzędu Ochrony Danych Osobowych w stosunku do podmiotów sektora publicznego sięga 100 000 zł.

PUODO postanowił ukarać burmistrza miasta Aleksandrów Kujawski. Za co? Przewinień było kilka, a gdybyśmy chcieli je wylistować:

  • Brak umownego uregulowania powierzenia przetwarzania danych z dostawcami usług IT.

Przetwarzanie danych osobowych przez podwykonawców administratora należy zabezpieczyć umową powierzenia przetwarzania danych. Umowy te nie są nowością wprowadzoną przez RODO, obowiązywały także przed rozpoczęciem obowiązywania Rozporządzenia. Są one szczególnie istotnie w sytuacji przetwarzania danych (w tym operacji ich przechowywania i dostępu do nich w zakresie serwisowania) przez podmioty obsługujące swoich klientów pod kątem rozwiązań IT.

  • Brak wewnętrznych regulacji dotyczących retencji danych.

Dane osobowe przetwarzać należy zgodnie z zasadą celowości, adekwatności i czasowości. Zastosowania tej ostatniej zasady zabrakło w zakresie publikacji danych w Biuletynie Informacji Publicznej ukaranego urzędu. Administratorzy zobowiązani są ustalać terminy przechowywania danych osobowych, ale też przestrzegać ustalonych terminów ich usuwania. Jeśli dane osobowe nie są już potrzebne, ustał cel ich przetwarzania, upłynął czas ich przechowywania wynikający z przepisów prawa, albo podmiot danych skutecznie zażądał ich usunięcia – dane należy trwale usunąć lub zanonimizować. Przechowywanie danych, dla których przetwarzania nie ma podstawy prawnej jest jednym z poważniejszych naruszeń przepisów Rozporządzenia.

  • Brak zabezpieczenia danych pod kątem ich dostępności.

Zapewnienie poufności, integralności i dostępności danych – to zakres obowiązków, których wykonanie administrator ma zapewnić w procesach przetwarzania danych w ramach podejścia privacy by design oraz privacy by default. Jeśli administrator przetwarza dane osobowe, to ciągle zabiega o to, by były przetwarzane zgodnie z adekwatnymi do celów przetwarzania zabezpieczeniami.

  • Brak przeprowadzenia analizy ryzyka.

Administrator zarządzając procesami przetwarzania danych osobowych, zobowiązany jest do zbadania potencjalnych ryzyk dla osób fizycznych, których dane wykorzystuje w konkretnym procesie przetwarzania. Analizy ryzyka mają być cykliczne i przeprowadzane w sposób powtarzalny i pozwalający na bieżące kontrolowanie wdrożonych rozwiązań, pozwalających na zminimalizowanie wynikających z przetwarzania negatywnych skutków dla podmiotów danych.

  • Brak rozliczalności w zakresie prowadzonej dokumentacji.

Niektórzy administratorzy danych zobowiązani są pod pewnymi warunkami prowadzić rejestr czynności przetwarzania. Rejestr ten ma być odzwierciedleniem aktualnej sytuacji dotyczącej przetwarzania danych osobowych w organizacji. Przepisy RODO dokładnie definiują jakie obligatoryjne informacje ma zawierać prawidłowo prowadzony rejestr. Weryfikacja tego dokumentu zazwyczaj stanowi punkt wyjścia przy sprawdzeniu poprawności stosowania przepisów Rozporządzenia w organizacji.

 

Dodatkowo, jak powszechnie wiadomo, jeśli uprawniony do przeprowadzenia kontroli organ nadzorczy wytyka nieprawidłowości, to dobrze jest te nieprawidłowości w miarę możliwości szybko usunąć. Sama współpraca z organem w trakcie przeprowadzania kontroli także popłaca – w końcu przecież obu stronom tej relacji zależy na uzyskaniu właściwego poziomu ochrony przetwarzania danych osobowych.

 

Szczegóły dot. tej decyzji dostępne są na stronie Urzędu Ochrony Danych Osobowych: https://www.uodo.gov.pl/pl/138/1240

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.