Prezes Urzędu Ochrony Danych Osobowych wydał kolejną decyzję nakładającą karę finansową za nieprzestrzeganie przepisów RODO - tym razem jednak po raz pierwszy wobec podmiotu publicznego.
Za jakie naruszenia została nałożona kara?
Burmistrzowi Aleksandrowa Kujawskiego wytknięto szereg naruszeń związanych z przetwarzaniem danych osobowych, w tym:
- udostępnianie danych osobowych podwykonawcom, z którymi nie zawarto umowy powierzenia danych osobowych,
- braki w prowadzonym rejestrze czynności przetwarzania m.in. niezamieszczenie przy pewnych procesach informacji o planowanym terminie usunięcia przetwarzanych danych osobowych oraz odbiorcach danych osobowych,
- nieprzeprowadzenie analizy ryzyka w związku z transmitowaniem obrad Rady Miasta w serwisie YouTube oraz niewprowadzenie odpowiednich środków technicznych i organizacyjnych ochrony danych poprzez wykonywanie i przechowywanie kopii zapasowych takich nagrań.
Wysokość kary administracyjnej
Łączna kara finansowa nałożona na Burmistrza Aleksandrowa Kujawskiego wyniosła 40 000 zł. Warto jednak pamiętać, że zgodnie z ustawą o ochronie danych osobowych, maksymalne administracyjne kary pieniężne nakładane na podmioty publiczne są znacznie niższe niż te wynikające z RODO. Maksymalna kara dla jednostek sektora finansów publicznych, instytutów badawczych i NBP to 100 000 zł, a dla instytucji kultury zaledwie 10 000 zł.
Gdyby podobnych naruszeń dopuścił się podmiot prywatny, maksymalna wysokość kary administracyjnej mogłaby wynieść aż 20 000 000 EUR a w przypadku przedsiębiorstwa - do 20 000 000 EUR lub do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym pod uwagę bierze się kwotę wyższą). Za przewinienia mniejszej wagi np. dotyczące powierzenia przetwarzania danych osobowych, kara wynosi do 10 000 000 EUR a w przypadku przedsiębiorstwa do 10 000 000 EUR lub do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym pod uwagę bierze się kwotę wyższą).
Karę przelicza się na złotówki według średniego kursu EUR z dnia 28 stycznia danego roku.
Co oprócz kary finansowej?
Prezes Urzędu Ochrony Danych może również nakazać, wraz z karą administracyjną lub nawet zamiast niej, podjęcie odpowiednich działań np. w postaci:
a) ograniczenia lub zaprzestania przetwarzania danych osobowych (również czasowo),
b) poinformowania podmiotów danych o zaistniałym naruszeniu,
c) realizacji żądania podmiotów danych np. żądania usunięcia danych osobowych,
d) opracowania lub uzupełnienia dokumentacji dotyczącej ochrony danych osobowych,
e) wdrożenia odpowiednich środków organizacyjnych i technicznych w celu zabezpieczenia danych.
Możliwe jest również udzielenie upomnienia czy wydanie ostrzeżenia.
W omawianej decyzji Burmistrz Aleksandrowa Kujawskiego został zobowiązany do podjęcia szeregu czynności dostosowujących przetwarzanie danych do przepisów RODO, w tym do uzupełnienia rejestru czynności przetwarzania o brakujące informacje, wdrożenia polityk w zakresie retencji danych osobowych oraz wstrzymania się z przekazywaniem danych osobowych do podwykonawcy do czasu zawarcia umowy powierzenia przetwarzania danych osobowych.
Naruszenie zasad ochrony danych osobowych nie zawsze musi się skończyć nałożeniem administracyjnej kary finansowej. Czasami jednak obowiązek podjęcia dodatkowych działań może być równie dotkliwy jak kara finansowa np. gdy zakaz przetwarzania danych osobowych uniemożliwi funkcjonowanie danego podmiotu.
