W komunikacie czytamy, że jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. W omawianym przypadku umowy powierzenia nie zawarto z firmą, na której serwerach znalazły się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, a także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.
Prezes UODO stwierdził więc naruszenie art. 28 ust. 3 RODO, który zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. Nie zawierając takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej naruszając: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).
Ponadto, w toku postępowania kontrolnego prowadzonego przez Prezesa UODO ustalono, że nie było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. Skutkiem tego, np. w BIP były dostępne m.in. oświadczenia majątkowe z 2010 r., a z przepisów sektorowych wynika, że okres ich przechowywania wynosi 6 lat. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w akich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Kolejne uchybienie dotyczy publikacji nagrań. W czasie postępowania ustalono bowiem, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. Urząd miejski nie dysponował więc kopiami zapasowymi tych nagrań, co w razie utraty danych zapisanych w tym serwisie spowodowałoby, że administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono też analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO). Zasadę rozliczalności naruszono też w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, administrator ich nie usunął, ani nie wdrożył rozwiązań, które mogłyby przeciwdziałać naruszeniom w przyszłości. Administrator danych nie współpracował również z organem nadzoru. W konsekwencji Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.
Oprócz kary pieniężnej Prezes UODO nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Źródło: https://uodo.gov.pl/pl/138/1240