Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Pierwsze w Polsce kara organu nadzorczego na podmiot publiczny

Mikołaj Otmianowski03 listopada 2019Komentarze (0)

Stało się. Pierwszym podmiotem administracji publicznej ukaranym przez Prezesa UODO został Burmistrz Aleksandrowa Kujawskiego. Dotychczas kary od Prezesa UODO dostawały wyłącznie podmioty prywatne. Ostatnia opiewająca na niemal 3 miliony złotych została nałożona na spółkę Morele.net.  Urzędnicy skontrolowali i ukarali podmiot z sektora publicznego, a konkretnie Burmistrza Aleksandrowa Kujawskiego.

Wysokość kary nie należy do rekordowych, ale 40 tysięcy złotych dla organu publicznego to kara wysoka, bo de facto to 40 % maksymalnego dopuszczalnego wymiaru kary. Przypomnę, że w Polsce maksymalny wymiar kary dla podmiotu publicznego wynosi 100 tysięcy złotych.

Za co więc tak surowa kara? Analizując wydaną decyzję Organ miał następujące zastrzeżenia:

  1. Brak umowy powierzenia z dwoma dostawcami usług zewnętrznych
  2. Brak procedury retencji danych
  3. Brak wdrożenia odpowiednich środków technicznych i organizacyjnych (brak backup’u nagrań z posiedzeń Rady Miejskiej)
  4. Brak wykonania analizy ryzyka dla procesu przetwarzania
  5. Nienależyte wykonanie Rejestru Czynności Przetwarzania
  6. Brak wykonania zaleceń PUODO oraz brak współpracy z organem

W tym artykule szczególną uwagę chciałbym poświęcić analizie ryzyka, ale najpierw pokrótce o pozostałych.

Umowa powierzenia, a właściwie jej brak

Burmistrz przekazał dane innemu podmiotowi nie dochowując staranności w zakresie wyboru tego podmiotu i pozostawił te dane de facto bez nadzoru. Czyli nadużył zaufania osób które dane mu przekazały, bo chciałby lub bo musiały zgodnie z przepisami. Co więcej podmiot, któremu dane zostały udostępnione nie mając umowy powierzania otrzymują je stał się automatycznie administratorem tych danych. W związku z tym naraża się na roszczenia ze strony osób których dane dotyczą (czy osoby wiedzą, że tymi danymi operuje) oraz kary administracyjne od regulatora (czy spełnił obowiązek informacyjny?). Umowa powierzenia stanowi podstawę prawną na podstawie której podmiot przetwarzający ma prawo przetwarzać dane osobowe. Dlatego tak ważne jest zawarcie umowy powierzenia. Patrząc od innej strony w tym konkretnym przypadku te dane miały zostać upublicznione w BIP, więc tak się głośno zastanawiam czy aby na pewno to jest taka istotna podstawa dla ukarania skoro dane te miały być publicznie dostępne?

Retencja danych

Według mnie to jeden z najtrudniejszych tematów związanych z przetwarzaniem danych osobowych i organizacją działania organizacji, ale tutaj chyba sytuacja była dość zero jedynkowa. Dane powinny być usuwane z BIP po okresie wskazanym w ustawie.

Rejestr czynności przetwarzania (RCP lub RCPDO)

Kolejną kwestią którą zainteresował się organ był Rejestr Czynności Przetwarzania. Obowiązkowe składowe rejestru są uregulowane w art. 30 ust. 1 RODO. Brak uwzględnienia ich wszystkich powoduje brak realizacji obowiązku prawnego ciążącego na Administratorze. W omawianym przypadku brakowało informacji o planowanym terminie usunięcia danych oraz o odbiorcach danych. Warto rejestr czynności przejrzeć i sprawdzić czy wszystko jest na swoim miejscu. Dlaczego warto? Przypominam mój wpis o spojrzeniu na organizację z lotu ptaka. Szczególnie korzyść nr 2.

Współpraca z organem

To dość zaskakujący punkt uwypuklony przez organ nadzorczy. Zawsze i każdorazowo należy współpracować z organem nadzorczym, bo to ma bezpośredni wpływ na wysokość kary. Wynika to przepisów prawa, ale też i ze zdrowego rozsądku, ponieważ organ każdorazowo uwzględnia chęć współpracy z organem czy to po wystąpieniu naruszenia czy to w ramach przeprowadzanej kontroli.

Brak analizy ryzyka, a kara

A teraz dla mnie najciekawsze. Ostatnio dosyć częstym wątkiem będącym przedmiotem postępowania urzędu jest kwestia wdrożenia odpowiednich środków organizacyjnych i technicznych mających na celu bezpieczne przetwarzanie danych osobowych. W omawianym przypadku zabrakło backupu danych. Bez backupu w razie utraty danych, Administrator nie ma możliwości ich odzyskania, a tym samym nie wymogu integralności danych. Takie kwestie powinny być przedmiotem analizy oraz dostosowania na etapie przeprowadzania analizy ryzyka.

Po raz kolejny w decyzji o karze administracyjnej wyczytać można, że Urząd Ochrony Danych Osobowych w ramach przeprowadzonej kontroli wskazuje na nienależyte wykonanie analizy ryzyka przez organizację. W przypadku kary nałożonej na Burmistrza nieprawidłowość została oznaczona m.in. jako brak wykonania szacowania ryzyka dla konkretnego procesu – zapisywania nagrań z posiedzeń Rady Miejskiej tylko na serwerze zewnętrznego podmiotu – YouTube.

Dlaczego to takie ważne?

Przede wszystkim Administrator każdorazowo decydując o sposobie przetwarzania danych osobowych w organizacji powinien zastosować się do praktyki myślenia procesowego, czyli takiego, w którym zanim zdecyduje się na przetwarzanie danych przeanalizował m.in. jakie dane są mu niezbędne, kto będzie za to odpowiadał czy też wreszcie, jakie środki techniczne i organizacyjne mają znaleźć zastosowanie w danym przypadku. Ma to na celu pełną ochronę praw i wolności osób, których dane dotyczą.

W momencie, w którym takie szacowanie ryzyka miałoby miejsce, Administrator pewnie by zauważył podatności i zagrożenia, jakie mogą zaistnieć w związku z przetwarzaniem danych w ramach konkretnego procesu. W takiej sytuacji przy wykonaniu oceny skutków dla osób, których dane dotyczą  i ogólnej oceny ryzyka zauważyłby wysokie ryzyko utraty danych. Dlaczego? Ponieważ w trakcie analizy zauważyłby jakie środki należy zastosować w każdym procesie.

Reasumując, zauważamy, że PUODO, coraz większy nacisk kładzie szacowania ryzyka przez organizacje, co zresztą jest zgodne z duchem RODO. Szacowanie ryzyka to czynność obowiązkowa, której lekceważenie kończy się w najlepszym przypadku nakazem jej przeprowadzenia. Systematyczne szacowanie ryzyka w oparciu o sensowny mechanizm i zdrowe podejście Administratora może niejednokrotnie przesądzić nie tylko co o uniknięciu kary, co też o uniknięciu wielu incydentów oraz naruszeń zasad ochrony danych osobowych w organizacji.

Na razie pozdrawiam, a już niedługo kilka wpisów o tym jak my przeprowadzamy analizę ryzyka dla naszych klientów.

pozdrawiam

Mikołaj

PS. zachęcam do zapoznania się z moim poprzednim wpisem na temat korzyści dla Doradcy z przeprowadzenia analizy ryzyka

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez DAPR sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest DAPR sp. z o.o. z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem m.otmianowski@dapr.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: