Burmistrz Aleksandrowa Kujawskiego ukarany

burmistrz kara rodoKara RODO: Burmistrz Aleksandrowa Kujawskiego ukarany

Nie tak dawno informowaliśmy o karze nałożonej na Morele.net, a w ubiegłym tygodniu Prezes UODO nałożył kolejną karę finansową. Jakby tego było mało, również w tym tygodniu usłyszeliśmy o kolejnej karze finansowej – ale o tym będzie w następnym wpisie.

Za co Prezes UODO nałożył karę?

Karę pieniężną w wysokości 40 tys. zł Urzędowi Ochrony Danych Osobowych będzie musiał zapłacić Burmistrz Aleksandrowa Kujawskiego. Instytucja, w której urzęduje, nie posiadała podpisanej umowy powierzenia z firmą, na której serwerach znajdują się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego. Takiej umowy brakowało również w przypadku firmy serwisującej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim. Ponadto w trakcie kontroli ustalono, że okres przechowywania danych w BIP był zbyt długi. Przykładowo cały czas były dostępne oświadczenia majątkowe z 2010 r., podczas gdy powinny zostać usunięte z platformy już po 6 latach. W tym przypadku brakowało jasnych procedur wewnętrznych Urzędu określających tryb sprawdzania danych i ich usuwania.

Niestety to nie koniec uchybień. Okazało się, że rejestrowany materiał z posiedzeń Rady Miejskiej znajdował się na platformie YouTube. Niewątpliwie wszystko byłoby w porządku, gdyby nie fakt, że zapis wideo znajdował się tylko na stronach YouTube.com. Prezes UODO wskazał, że Urząd Aleksandrowa Kujawskiego powinien zapewnić zasady poufności, integralności, dostępności i odporności systemów umożliwiających szybkie przywrócenie danych. Bez posiadania kopii nagrań gwarancja ochrony danych osobowych nie istnieje. Urząd Miasta nie zauważył tego problemu, ponieważ nie wykonał analizy ryzyka – co było kolejnym błędem zauważonym przez kontrolujących z UODO.

Jakie wnioski na przyszłość?

Z pewnością należy uczyć się na błędach. Spójrzmy więc wszyscy do swoich segregatorów bądź systemów informatycznych i sprawdźmy:

  • czy posiadamy podpisaną umowę powierzenia danych osobowych z podmiotami, na których znajduje się nasza strona internetowa?
  • czy osoby obsługujące naszą stronę internetową są prawidłowo upoważnione, czy są zobowiązane do zachowania poufności? Czy posiadamy w organizacji politykę haseł? Czy pracownicy ją znają?
  • czy firma serwisująca naszą stronę internetową zawarła z nami umowę powierzenia?
  • czy mamy wdrożoną politykę określającą okresy retencji danych zapewniającą przestrzeganie terminów przetwarzania danych? Czy sprawdziliśmy terminy przechowywania danych w przepisach? A może sami je ustaliliśmy?

Na samym końcu zrewidujmy kopie danych, które tworzymy. Miejmy pewność, że są sprawne i będziemy w stanie przywrócić dane w przypadkach awarii systemów i utraty pierwotnych danych.

Nasze Centrum wspiera przedsiębiorców w kompleksowych audytach IT oraz RODO. Zapraszamy do kontaktu i zapoznania się z naszą ofertą. Przeprowadzimy również dla Państwa analizę ryzyka, która niewątpliwie pomoże usystematyzować przetwarzanie danych w organizacji i pomoże dopasowć odpowiednie środki ochrony.

Czy to już wszystko?

Nie, to nie wszystko. Mianowicie Prezes UODO nakładając karę zwrócił także uwagę na braki w Rejestrze Czynności Przetwarzania (RCP). Mimo iż zawartość Rejestru została wprost wskazana w art. 30 RODO, zdajemy sobie sprawę, że nie jest łatwo go wypełnić. Rejestr w Aleksandrowie Kujawskim nie zawierał wszystkich odbiorców danych czy terminów ich przetwarzania. Przypomnijmy co Rejestr Przetwarzania powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe ujawniliśmy lub ujawnimy, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, informację o terminach, kiedy usuniemy poszczególne kategorie danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 ogólnego rozporządzenia o ochronie danych.

Wszystkie uchybienia zostały wycenione na kwotę 40 tys., ale trzeba pamiętać, że maksymalna kara finansowa jaka może być nałożona na podmiot publiczny wynosi 100 tys. zł. Kwota została ograniczona ze względu na polską Ustawę o Ochronie Danych Osobowych (art. 102). Dlatego miejmy na uwadze, że najprawdopodobniej dla przedsiębiorcy prywatnego wyliczenia inaczej by wyglądały.

Źródła:
– Aktualności Urzędu: https://uodo.gov.pl/pl/138/1240
– Decyzja nakładająca pierwszą administracyjną karę pieniężną na podmiot publiczny: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Latest posts by Przemysław Siarka (see all)

,

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Fill out this field
Fill out this field
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu