Dnia 30.10.2019 r. na stronie UODO pojawił się komunikat informujący o nałożeniu na podmiot publiczny przez Prezesa UODO pierwszej kary w wysokości 40 000 zł. Naruszenie dotyczyło przede wszystkim niezawarcia umowy o powierzenie przetwarzania danych osobowych.
Pierwsza kara dla podmiotu publicznego
Jak dotąd Prezes nałożył już kary na podmioty prywatne, którym zarzucił naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119/1; dalej: RODO). Jedna z ostatnich kar wyniosła nawet 2,8 mln zł. Tym razem ukarano po raz pierwszy podmiot publiczny, czyli jednostkę samorządu terytorialnego.
W komunikacie czytamy, że jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. W omawianym przypadku umowy powierzenia nie zawarto z firmą, na której serwerach znalazły się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z inną firmą, która dostarczała oprogramowania do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.
Prezes UODO stwierdził więc naruszenie art. 28 ust. 3 RODO, który zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Jak wynika z art. 28 ust. 3 RODO, umowa taka wiąże podmiot przetwarzający i administratora, a także określa:
1) przedmiot i czas trwania przetwarzania;
2) charakter i cel przetwarzania;
3) rodzaj danych osobowych;
4) kategorie osób, których dane dotyczą;
5) obowiązki i prawa administratora.
Trzeba tu przypomnieć główną zasadę określoną w art. 28 ust. 1 RODO, z której wynika, że w przypadku gdy przetwarzanie danych osobowych ma się odbywać w imieniu administratora, to powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie musi bowiem spełniać wymogi RODO i chronić prawa osób, których dane dotyczą.
Przy czym, jak wynika z motywu 81 RODO: „Administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien – zgodnie z decyzją administratora – zwrócić lub usunąć dane osobowe, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania danych osobowych”.
WażneW omawianym przypadku, nie zawierając takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, naruszając zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO). |
Wspomniane tu zasady stanowią, że dane osobowe muszą być przetwarzane:
1) zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą – chodzi więc o zgodność z prawem, rzetelność i przejrzystość;
2) w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – chodzi o integralność i poufność.
W odniesieniu do tych zasad, z motywu 39 RODO wynika m.in., że wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.
WażneZasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. |
Osobom fizycznym należy też uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.
Jeśli chodzi o zasadę określoną w RODO jako zasada integralności i poufności, to w związku z tym, że chodzi tu o bezpieczeństwo danych osobowych – w tym o ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – należałoby mówić raczej o zasadzie bezpieczeństwa i poufności. Konkretne zapisy dotyczące tej zasady wskazuje art. 32 ust. 1 RODO, zgodnie z którym, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:
1) pseudonimizację i szyfrowanie danych osobowych;
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Naruszenie zasady ograniczonego przechowywania
Z komunikatu wynika też, że w toku postępowania kontrolnego prowadzonego przez Prezesa UODO ustalono, że nie było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. Skutkiem tego, np. w BIP były dostępne m.in. oświadczenia majątkowe z 2010 r., a z przepisów sektorowych wynika, że okres ich przechowywania wynosi 6 lat. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić, adekwatnie do celów, w jakich je przetwarza.
Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO. Stanowi ona, że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
WażneDane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. |
Niepublikowanie nagrań posiedzeń rady to naruszenie zasady rozliczalności
Kolejne uchybienie dotyczyło publikacji nagrań. W czasie postępowania ustalono bowiem, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Urząd miejski nie dysponował więc kopiami zapasowymi tych nagrań, co w razie utraty danych zapisanych w tym serwisie spowodowałoby, że administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono też analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc, poza wspomnianą wyżej zasadą integralności i poufności, do naruszenia zasady rozliczalności (art. 5 ust. 2 RODO). Administrator jest odpowiedzialny za przestrzeganie przepisów zasad wymienionych w art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie.
Zasadę rozliczalności naruszono też w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Karę określa ustawa o ochronie danych osobowych
Jak wynika z art. 102 ust. 1 pkt 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.), Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł, na jednostki sektora finansów publicznych, w tym m.in. na jednostki samorządu terytorialnego i ich związki.
W tym przypadku kara wyniosła 40% tego limitu, czyli 40 000 zł. Prezes UODO, nakładając tę karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, administrator ich nie usunął, ani nie wdrożył rozwiązań, które mogłyby przeciwdziałać naruszeniom w przyszłości. Administrator danych nie współpracował również z organem nadzoru. W konsekwencji Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.
Oprócz kary pieniężnej Prezes UODO nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Sławomir Liżewski - specjalista w zakresie prawa administracyjnego i prawa gospodarczego
Źródło: uodo.gov.pl/pl/138/1240
Podstawa prawna
- art. 5 ust. 1 i 2, art. 28 ust. 1 i 3, art. 32 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119/1)
- art. 102 ust. 1 pkt 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.)