Kolejna administracyjna kara pieniężna za naruszenie przepisów RODO. Tym razem o tyle ważna i przełomowa, że jest to pierwsza w Polsce kara nałożona na podmiot publiczny. W dniu 30 października 2019 r. Urząd Ochrony Danych Osobowych oficjalnie poinformował, że Prezes UODO nałożył na burmistrza miasta karę za nierespektowanie przepisów RODO w wysokości 40 000 zł.
„Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO„
Urząd Ochrony Danych Osobowych
Tymi słowami polski organ nadzorczy poinformował i jednocześnie skomentował wymierzenie przez Prezesa UODO pierwszej kary pieniężnej RODO dla podmiotu publicznego.
Jakie główne nieprawidłowości zidentyfikowano?
1. Brak umowy powierzenia przetwarzania danych osobowych.
UODO wskazuje, że gdy w rzeczywistości dochodziło do powierzenia przetwarzania danych osobowych, administrator nie zawarł prawnie wymagane umowy powierzenia. Dotyczyło to przypadków współpracy i przekazywania danych do firm dostarczających infrastrukturę oraz oprogramowanie IT.
O konieczności analizy i zawarcia prawnie wymaganych umów powierzenia pisaliśmy już niejednokrotnie, w szczególności polecamy nasz materiał pt. Powierzenie przetwarzania danych osobowych i umowa powierzenia (DPA).
2. Brak procedur wewnętrznych i naruszenie zasady okresowości (retencji).
UODO informuje, że w toku czynności kontrolnych stwierdzono brak odpowiednich procedur wewnętrznych, co do okresu retencji publikowanych danych osobowych.
3. Brak kopii zapasowych.
UODO podnosi, że publikacja posiedzeń rady miejskiej zamieszczana były wyłącznie za pośrednictwem dedykowanego kanału administratora na YouTube. Została postawiona teza, że w przypadku utraty nagrań z serwerów YouTube, administrator nie posiadałoby ich kopii, co głównie skutkowałoby naruszeniem zasady integralności. W naszej ocenie, wskazana w tym przypadku okoliczność naruszenia zasad RODO może budzić wiele kontrowersji, pozostawiając szerokie pole do dyskusji. Po pierwsze, skoro materiały zostały zamieszczone przez administratora na serwisie YouTube, to czy aby na pewno nie istniały i nie były dla administratora dostępne ich kopie zapasowe? Można przypuszczać, że przedmiotem kontroli nie została objęta infrastruktura serwisu YouTube, na okoliczność stosowanych zabezpieczeń co do integralności danych i wykonywania backup’ów. Po drugie, patrząc przez pryzmat charakteru zawartych w publikowanych materiałach danych osobowych, niejednoznaczne pozostaje, czy konieczne było dysponowanie przez administratora danych osobowych we własnym zakresie niezależnymi kopiami zapasowymi. Uważamy, że to ciekawy przypadek zarówno pod kątem merytorycznym, jak i praktycznym, który pokazuje jak istotnym może być odpowiednie wsparcie informatyczno-prawne w toku prowadzonej kontroli sposobu przetwarzania danych osobowych.
4. Brak analizy ryzyka.
Administrator nie przeprowadził analizy ryzyka, w związku z publikacją wyżej wymienionych materiałów.
5. Braki w rejestrze czynności przetwarzania danych osobowych.
UODO poinformowało, iż w ramach czynności kontrolnych ustalono, że administrator posiadał rejestr czynności przetwarzania danych osobowych. Jednakże zostały zidentyfikowane jego braki w szczególności, w zakresie odbiorców danych, czy też retencji danych osobowych.
Szybka reakcja po stwierdzeniu naruszenia.
Polski organ nadzorczy poinformował, że na wymierzenie administracyjnej kary pieniężnej miała znaczenie również postawa administratora. Wskazano, że po pierwsze, mimo stwierdzonych nieprawidłowości, nie zostały one usunięte. Po drugie, administrator nie wdrożył rozwiązań mających na celu wyeliminowanie wystąpienia w przyszłości ewentualnych naruszeń. Okoliczność ta potwierdza po raz kolejny, jak wysoce istotna jest szybka reakcja administratora danych osobowych w przypadku zidentyfikowania nieprawidłowości. Bez znaczenia pozostaje fakt czy mamy do czynienia z administratorem będącym podmiotem z sektora publicznego czy prywatnego.
Czy nałożona kara pieniężna RODO dla podmiotu publicznego jest wysoka?
Polski organ nadzorczy od czasu stosowania RODO wymierzył już dwie tzw. milionowe kary. Jedna w wysokości 2,8 mln złotych, druga w wysokości przekraczającej 900 tysięcy złotych. Obie kary dotyczyły uchybień podmiotów prywatnych. Czy zatem omawiana kara pieniężna RODO dla podmiotu publicznego jest wysoka? Patrząc przez pryzmat wysokości tych wcześniejszych kar, zdecydowanie nie. Należy jednak pamiętać, że zostały one wymierzone podmiotom prywatnym, a w takich przypadkach, w zależności od charakteru uchybień, górna granica administracyjnej kary pieniężnej wynosi aż 20 milionów Euro.
Z kolei, omawiana kara została nałożona na podmiot sektora publicznego i takich przypadkach zgodnie z art. 102 ust. 1 pkt 1) Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2019.1781) maksymalna wysokość kary pieniężnej została ograniczona przez polskiego ustawodawcę do 100 000 złotych.
Podsumowanie
Uważamy, że komentarz do tej decyzji Prezesa UODO jest ważny nie tyle co pod kątem wysokości wymierzonej sankcji, ile ze względu na potwierdzenie w decyzji istotności prawidłowego wdrożenia wymogów przepisów ochrony danych osobowych i zwrócenie uwagi na często popełniane w praktyce błędy. W analizowanym przypadku dostrzega się, że administrator podjął działania mające na celu wdrożenie wymogów RODO, jednakże nie przebiegło to w pełni kompleksowo. Ogran nadzorczy wykrył nieprawidłowości w różnych obszarach funkcjonowania systemu ochrony danych osobowych, począwszy od braku zawarcia umów powierzenia, kończąc na nieposiadaniu odpowiednich procedur. Jeżeli idzie o wysokości kary, to nie powinno budzić wątpliwości, że w przypadku analogicznych uchybień, z tym że popełnionych przez podmiot prywatny, za sprawą przeszło 800x wyższego progu maksymalnego kary, mogłaby zostać wymierzona znacznie wyższa sankcja finansowa.
Źródło: Aktualności UODO – https://uodo.gov.pl/pl/138/1240.
Opracował: Zespół Lasota Consulting Sp. z o.o.