facebook RSS # #

22.11.2019 05:15

Polska Agencja Prasowa Serwis Samorządowy
 
2019-11-07 11:30       aktualizacja: 2019-11-17 07:01       WIADOMOŚCI
  A A A

Ukarany burmistrz. Prawnik radzi jak unikać błędów w przetwarzaniu danych osobowych w JST

Ukarany burmistrz. Prawnik radzi jak unikać błędów w przetwarzaniu danych osobowych w JST
Fot. Fotolia
Umowa, czas przetwarzania, kopie zapasowe, współpraca podczas kontroli - prawnik analizuje błędy jakie burmistrzowi Aleksandrowa Kujawskiego wytknął Urząd Ochrony Danych Osobowych.

Kara nałożona na burmistrza wyniosła 40 tys. zł. Prawnik specjalista ds. ochrony danych osobowych Magda Judejko z firmy PHAROS wskazuje jak ustrzec się przed podobnymi zarzutami.

Ekspert przypomina, że od 1997 r. ochronę danych osobowych w Polsce regulowała ustawa jednakże dopiero w maju 2018 r. wraz z wprowadzeniem w całej UE generalnej regulacji prawnej dotyczącej ochrony danych (RODO) wdrożono sankcje w postaci wysokich kar finansowych nakładanych na administratorów danych osobowych.

Administratorami danych osobowych są zarówno przedsiębiorcy, jak również jednostki publiczne i - jak zauważa prawniczka - 30 października 2019 r. okazało się, że tak samo jak na przedsiębiorców, tak samo na jednostki publiczne mogą zostać nałożone dotkliwe kary, za niestosowanie przepisów o ochronie danych osobowych.

Prezes UODO poinformował wówczas że wymierzył karę w wysokości 40 tys. zł burmistrzowi miasta za:

- brak umowy powierzenia danych osobowych z firmą, która dostarczyła i serwisowała obowiązkowy dla wszystkich jednostek publicznych Biuletyn Informacji Publicznej (naruszenia art. 28 ust. 3 RODO);

- nieprzestrzeganie zasady ograniczonego przechowywania (tzw. retencja danych) w systemie BIP;

- brak kopii zapasowych nagrań z posiedzenia rady miejskiej;

- brak współpracy burmistrza w czasie kontroli.

Specjalista ds. ochrony danych osobowych Magda Judejko wskazuje, że podstawowym problemem związanym z umowami powierzenia, z jakim borykają się administratorzy (tzn. urzędy, przedsiębiorcy, szkoły, szpitale itp.) jest odpowiedź na pytanie, czy umowę o powierzeniu przetwarzania danych osobowych w konkretnej sytuacji należy w ogóle zawrzeć.

Umowa o powierzeniu danych osobowych to podstawa prawna do powierzenia danych osobowych przez administratora innemu podmiotowi, która służy głównie przy zlecaniu prac/wykonaniu usług firmą zewnętrznym. Administrator określa cel i zakres przetwarzania danych osobowych, a podmiot powierzający działa w imieniu administratora i zapewnia środki techniczne i organizacyjne do zapewnienia bezpiecznego przetwarzania danych osobowych.

Przykład - burmistrz miasta i każda jednostka publiczna ma obowiązek wynikający z przepisów prawa do wdrożenia systemu BIP, dlatego zamawia w firmie programistycznej odpowiednie oprogramowanie. W związku z tym, że w celu wykonania systemu, niezbędne jest przetwarzanie danych osobowych przez firmę programistyczną, burmistrz jako administrator danych osobowych ma obowiązek podpisać umowę o powierzeniu przetwarzania danych osobowych.

Przykłady powierzenia danych osobowych to również m.in. zewnętrzna obsługa kadrowo-płacowa, archiwizacja dokumentów, ochrona, usługi informatyczne, usługi kurierskie.

Prawnik podkreśla, że odpowiedzialność za zawarcie umowy i powierzenie przetwarzania danych przez odpowiedni podmiot leży zawsze na administratorze. Umowa może zostać zawarta w formie pisemnej, jak również elektronicznej.

W przypadku Aleksandrowa Kujawskiego UODO wytknął, że przez brak umowy, burmistrz nie miał podstawy prawnej do udostępniania danych osobowych, co naruszyło zasadę poufności i zasadę przetwarzania danych zgodnie z prawem.

Kolejny zarzut związany był z zasadą ograniczonego przechowywania danych. Wskazuje ona, że administrator powinien przechowywać dane osobowe w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

W BIP Aleksandrowa Kujawskiego kontrolerzy UODO znaleźli dokumentacje z 2010 r., która według przepisów powinna zostać usunięta po sześciu latach.

RODO też wskazuje, że jeżeli przepisy prawa nie regulują okresu przez jaki należy przetwarzać dane, administrator sam ustala - adekwatnie do celów - przez jaki czas będzie przetwarzał dane osobowe.

Jako uchybienie Prezes UODO wskazał też brak wykonania kopii nagrania z posiedzenia rady miejskiej. Nagranie umieszczono na kanale internetowym YouTube. Ponadto stwierdzono naruszenie zasady poufności i integralności ze względu na brak analizy ryzyka umieszczania materiałów na tej platformie.

UODO podnosił także zarzut braku współpracy burmistrza w czasie kontroli, co wpłynęło na wymierzenie i wysokość kary. Urzędnicy wskazali podczas kontroli nieprawidłowości, które nie zostały od razu usunięte oraz nie zostały poniesione jakiekolwiek kroki w celu działania zgodnie z przepisami.

Podsumowując, administratorzy danych osobowych bez względu czy działają prywatnie, czy też realizują zadania o charakterze publicznoprawnym, zobowiązani są do stosowania przepisów o ochronie danych osobowych pod groźbą otrzymania kary - przestrzega Judejko.

Samorządowcom radzi:

1)    Jeżeli zlecasz firmie zewnętrznej/samozatrudnionemu pracę do których niezbędne jest udostępnienie przez Ciebie danych osobowych np. danych pracowników, podpisz umowę o powierzeniu danych osobowych oraz prowadź rejestr powierzenia przetwarzania danych.

2)    Czas przetwarzania danych. W zależności od rodzaju danych, sprawdź czy przepisy określają czas przez który możesz przetwarzać dane, a jeżeli nie samodzielnie określaj czas przetwarzania adekwatnie do celu w jakim dane przetwarzasz.

3)    Wykonuj kopie zapasowe nagrań audiowizualnych.

4)    Współpracuj podczas kontroli i niezwłocznie wprowadzaj rozwiązania, zgodne z wytycznymi i przepisami.

Autor omawianej i przytaczanej wyżej analizy prawniczej: Magda Judejko, www.pharos.pl

js/

TAGI: PRAWO
 
KOMENTARZE: 0 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
newsletter

TAGI

PARTNERZY 


  Związek Gmin Wiejskich  

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 29 25
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Rafał Szafrański
Tel.: (22) 509 27 03
Kom.: 722 202 428
r.szafranski@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.25