Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Wprowadzenie RODO wymusiło wiele zmian w sposobie funkcjonowania rozmaitych firm oraz instytucji. Stało się również przyczyną rozmaitych wątpliwości oraz błędów popełnianych przez osoby mające problem z dostosowaniem się do nowych ograniczeń. Trudno się więc dziwić, że niektóre z nich spotkały się już z przykrymi konsekwencjami prawnymi z powodu takiej niefrasobliwości.

Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Alicja Skibińska

13 listopada 2019

Pojawiła się już pierwsza kara dla podmiotu publicznego za nieprzestrzeganie zasad RODO. Urząd Ochrony Danych Osobowych postanowił nałożyć ją na burmistrza Aleksandrowa Kujawskiego. Stawka jest zaskakująco wysoka – wynosi aż 40 tysięcy złotych! Jakie przewinienie spowodowało tak ostrą reakcję ze strony UODO?

Jakie kary grożą za naruszenie zasad RODO?

Przepisy RODO nie narzucają stawek kar pieniężnych stosowanych w przypadku złamania przyjętych zasad – każdy kraj może je ustalić według uznania. Rozporządzenie wymaga jedynie, by każdorazowo grzywna była skuteczna, proporcjonalna do przewinienia oraz odstraszająca. W Polsce maksymalna sankcja dla instytucji publicznej wynosi 100 tysięcy złotych.

Do wspomnianych podmiotów publicznych należą organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe, Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego, Narodowy Fundusz Zdrowia, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne, a także inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Natomiast decyzja o tym, czy nałożyć karę na daną instytucję oraz jaka będzie jej wysokość, podejmowana jest w oparciu o charakter, zakres i cel przetwarzania danych, liczbę osób, do których one należą, charakter naruszenia RODO (czy było ono umyślne), działania w kierunku zminimalizowania szkody, stopień odpowiedzialności administratora oraz wdrożone środki zapobiegawcze, wcześniejsze naruszenia ochrony danych oraz współpracę z UODO w celu zmniejszenia skutków naruszeń.

Na czym polega wina burmistrza Aleksandrowa Kujawskiego?

Kara nałożona na Urząd Miasta Aleksandrowa Kujawskiego oceniana jest jako bardzo surowa – stanowi bowiem aż 40% dopuszczalnej stawki. Jak podaje UODO, gmina dopuściła się kilku poważnych zaniedbań. Pierwszym z nich jest powierzenie wrażliwych danych firmom zapewniającym serwer, dostarczającym oprogramowanie oraz zajmującym się obsługą serwisową bez podpisania stosownej umowy.

Oprócz tego w Biuletynie Informacji Publicznej znaleziono oświadczenia majątkowe pochodzące z 2010 roku, co oznacza, że były one przechowywane dłużej niż pozwala prawo (maksymalny okres wynosi 6 lat). Jakby tego było mało, urząd opublikował nagrania z posiedzeń rady miejskiej na YouTube, nie zostawiając sobie ich kopii zapasowej, zaś rejestr czynności przetwarzania nie zawierał wszystkich niezbędnych informacji.

Jak chronić dane osobowe, by nie narazić się na karę?

RODO nakłada na nas obowiązek ochrony danych osobowych przetwarzanych przez naszą firmę lub inną instytucję. Ogromnie ważne jest staranne zabezpieczenie dokumentów: wgląd do nich powinny mieć wyłącznie osoby posiadające stosowne upoważnienie, zaś fizyczne kopie pism nie mogą być zostawiane bez nadzoru – najlepiej, by na co dzień były przechowywane w szafce zamykanej na klucz. Nie należy również magazynować ich dłużej, niż to konieczne (jeśli zaś chcemy się ich pozbyć, najlepiej zrobić to przy pomocy niszczarki, by mieć pewność, że nikt niepowołany nie będzie w stanie ich odczytać. Natomiast publikując istotne dane w serwisie takim jak YouTube, zawsze należy zatrzymać kopię zapasową, która może się przydać w przypadku utraty zapisanych informacji.

Jeśli organizacja powierza dane zewnętrznej firmie, staje się ona podmiotem przetwarzającym dane osobowe (zaś zleceniodawca wciąż pozostaje ich administratorem). Aby wszystko odbywało się zgodnie z prawem, przed rozpoczęciem współpracy należy podpisać umowę powierzenia przetwarzania danych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!