30.10.2019 od czasu wejścia w życie nowej ustawy o ochronie danych osobowych miał miejsce pierwszy przypadek nałożenia kary pieniężnej na podmiot publiczny w wysokości 40 tyś. zł.
Powodem wymierzenia kary był brak umowy na powierzenie przetwarzanych danych osobowych pomiędzy Urzędem Miejskim w Aleksandrowie Kujawskim a firmą, na której serwerach przechowywane były zasoby związane z Biuletynem Informacji Publicznej (BIP). Umowy nie zawarto również z inną firmą, która była dostawcą oprogramowania do stworzenia BIP oraz zajmowała się obsługą techniczną w tym zakresie. Prezes UODO uznał, że doszło do naruszenia art. 28 ust. 3 RODO.
Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W przypadku braku takiej umowy burmistrz Aleksandrowa Kujawskiego dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określoną w RODO zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
Decyzja UODO dostępna jest na stronie UODO.
Aby uniknąć tego typu sytuacji osoby z urzędu odpowiedzialne za dane osobowe muszą posiadać odpowiednią wiedzę lub większe doświadczenie w tym. Innym rozwiązaniem może być wdrożenie i poddanie się procesowi certyfikacji na normę ISO/IEC 27001:2013 (Systemy Zarządzania Bezpieczeństwem Informacji). Jednym z wymagań tej normy jest „Zarządzanie usługami świadczonymi przez dostawców” a celem „Utrzymać uzgodniony poziom bezpieczeństwa informacji i świadczonych usług zgodnie z umowami z dostawcami”.
Czy i kto może być następny ? O tym być może przekonamy się w najbliższych miesiącach.
