Dotychczasowe kary za nieprzestrzeganie wymogów RODO nakładane przez Prezesa Urzędu Ochrony Danych Osobowych („Prezes UODO”) dotyczyły przede wszystkim podmiotów prywatnych. Jednak Prezes UODO zainteresował się także jednostkami samorządu terytorialnego – czego przejawem jest kara pieniężna nałożona na podmiot publiczny, czyli na burmistrza Aleksandrowa Kujawskiego.

Czego dotyczyła decyzja?

Stwierdzone nieprawidłowości w Urzędzie Miasta są związane głównie z prowadzeniem Biuletynu Informacji Publicznej („BIP”). Jak stwierdził organ, nie zawarto umowy powierzenia przetwarzania danych osobowych z firmą, na której serwerach znalazły się zasoby BIP oraz z firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. W konsekwencji dane osobowe były przetwarzane bez podstawy prawnej, co narusza zasadę przetwarzania danych zgodnie z prawem i zasadę poufności. Ponadto kontrolerzy stwierdzili brak odpowiednich procedur oraz analiz ryzyka związanego z przetwarzaniem danych osobowych, a także niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. Urząd bowiem udostępniał zapisy nagrań z posiedzeń rady miejskiej w serwisie YouTube, które ulegały automatycznemu zapisowi na tej platformie, ale organ nie dysponował własną kopią zapasową tych nagrań, a taki stan rzeczy uniemożliwia skuteczne działanie administratora w przypadku incydentu bezpieczeństwa. Organ naruszył także zasadę rozliczalności z uwagi na nieprawidłowości w rejestrze czynności przetwarzania. Za wymienione naruszenia Prezes UODO nałożył na burmistrza karę pieniężną w wysokości 40.000 złotych oraz obowiązek podjęcia szeregu czynności w celu przywrócenia prawidłowego przetwarzania danych osobowych.

RODO to nie tylko „martwy” zbiór wytycznych

Przykład Aleksandrowa Kujawskiego pokazuje, że RODO to nie tylko suche przepisy nieprzystające do rzeczywistości, które trudno egzekwować. Bez wątpienia RODO wprowadza szereg zasad dotyczących przetwarzania danych osobowych i nakłada na administratorów danych i podmioty przetwarzające liczne wymogi prawne. Jednak obowiązek ich przestrzegania powinien być priorytetem, a każde działanie, którego przedmiotem są dane osobowe, powinno być gruntownie przemyślane i odpowiednio zabezpieczone pod względem prawnym.

Nie tylko podmioty prywatne powinny mieć się na baczności

Choć przedmiotowa sprawa nie została jeszcze prawomocnie zakończona, to jednak jest dowodem na to, że w sferze zainteresowań Prezesa UODO są nie tylko podmioty prywatne, ale też jednostki samorządu terytorialnego. O prawidłowe wdrożenie i przestrzeganie RODO powinny dbać wszystkie podmioty przetwarzające dane osobowe osób fizycznych, w tym także – a może przede wszystkim – podmioty publiczne.