Kilka dni temu sieć obiegła informacja o nałożeniu przez UODO kolejnej kary za nieprzestrzeganie RODO, tym razem na inny urząd.
Kara wyniosła 40.000,00 zł z uwagi na ograniczenie wysokości kar jakie mogą zostać nałożone na jednostki sektora publicznego (do 100.000,00 zł).
Kwestią najistotniejszą w tym wypadku było uchybienie polegające na udostępnieniu danych osobowych innemu podmiotowi bez zawarcia stosownej umowy powierzenia danych. Podmiot ten gromadził na swoich serwerach zasoby jakie znalazły się w BIP. UODO stwierdził, że kontrolowany urząd udostępniał te dane bez podstawy prawnej.
Innym rodzajem stwierdzonych naruszeń był brak procedur wewnętrznych związanych z okresem publikacji informacji w BIP, a także niewskazanie w rejestrze czynności przetwarzania danych osobowych dla czynności związanych z publikacją informacji w BIP, jak również niewskazanie planowanych okresów usunięcia danych.
W toku kontroli stwierdzono także niewdrożenie odpowiednich środków technicznych oraz organizacyjnych, brak przeprowadzonych analiz ryzyka dla poszczególnych operacji przetwarzania danych, jak również brak wykonania kopii zapasowych z nagrań sesji rady miejskiej, które były publikowany na kanałach You Tube.
Czynnikiem, który w sposób istotny wpłynął na wysokość nałożonej kary było naruszenie jednej z fundamentalnych zasad RODO, mianowicie zasady rozliczalności polegającej na tym, że w tym konkretnym wypadku administrator danych nie był w stanie wykazać przed UODO, iż przestrzega zasad RODO określonych w art. 5, a zatem m.in. zasady poufności, zasady ograniczenia przechowywania, czy zasady proporcjonalności.
Przy wydawaniu decyzji UODO nie znalazł żadnych okoliczności łagodzących, a co więcej uznał, że organ reprezentujący kontrolowany urząd działał w sposób umyślny oraz celowy naruszając zasady ochrony danych osobowych.
Przy ustalaniu wysokości kary wzięto m.in. pod uwagę okoliczności takie jak: wysoki stopień odpowiedzialności administratora, brak współpracy administratora z UODO po wszczęciu kontroli, poważny charakter naruszenia, czy umyślny charakter tego naruszenia.
Co więcej, UODO w swojej decyzji zaznaczył, że nałożona na urząd kara ma przede wszystkim odstraszać inne podmioty przed podobnymi naruszeniami, jak również ma mieć charakter zarówno represyjny, jak i prewencyjny.
Wydana decyzja ma także charakter ostateczny i odwołać się od niej można wyłącznie do Wojewódzkiego Sądu Administracyjnego w Warszawie. Nie odwołanie się od decyzji, jak również jej uprawomocnienie się, stanowi podstawę do skutecznego egzekwowania nałożonej kary.
Jak wynika z dotychczasowej praktyki UODO, nakładanych kar jest coraz więcej, w tym jest coraz mniej pobłażliwości dla wszelkich uchybień w przestrzeganiu RODO, które obowiązuje już od ponad roku i wprowadziło sporo zamieszania.