Pierwsza kara Prezesa UODO nałożona na podmiot z sektora publicznego

Na podmiot z sektora publicznego - Burmistrza Aleksandrowa Kujawskiego (dalej jako: Burmistrz) została nałożona administracyjna kara pieniężna w wysokości 40 000 zł. Prezes Urzędu Ochrony Danych Osobowych uznał, że doszło do naruszenia podstawowych zasad przetwarzania danych osobowych, takich jak brak umowy powierzenia danych, brak polityk dotyczących przetwarzania danych oraz niewdrożenie odpowiednich środków technicznych i organizacyjnych.

Tematyka: Burmistrz, Prezes UODO, kara pieniężna, sektor publiczny, ochrona danych osobowych, RODO, przetwarzanie danych, umowa powierzenia danych, polityki danych, środki techniczne, środki organizacyjne, surowa kara, funkcja odstraszająca

Na podmiot z sektora publicznego - Burmistrza Aleksandrowa Kujawskiego (dalej jako: Burmistrz) została
nałożona administracyjna kara pieniężna w wysokości 40 000 zł. W ocenie Prezesa Urzędu Ochrony Danych
Osobowych (dalej jako: Prezes UODO), doszło do naruszenia podstawowych zasad przetwarzania danych
osobowych tj.:
1. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 RODO poprzez udostępnianie danych
osobowych bez zawarcia umowy powierzenia danych;
2. zasady ograniczenia przechowywania, oraz art. 24 RODO poprzez brak odpowiednich polityk
dotyczących przetwarzania danych osobowych;
3. zasady integralności, poufności i zasady prawidłowości, oraz art. 24 RODO poprzez nieprzeprowadzenie
analizy ryzyka związanego z korzystaniem z kanału YouTube w celu transmisji nagrań z obrad Rady
Miasta;
4. zasady integralności i poufności, oraz art. 32 RODO poprzez niewdrożenie odpowiednich środków
technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku
z przechowywaniem nagrań sesji Rady Miasta;
5. zasady rozliczalności, oraz art. 30 ust. 1 lit. d oraz f RODO poprzez niewskazanie w rejestrze czynności
przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie Biuletynu
Informacji Publicznej (dalej jako: BIP) Urzędu wszystkich odbiorców danych oraz niewskazanie
planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą
ograniczonego przechowywania.
Stan faktyczny
W dniach od 28.1.2019 r. do 1.2.2019 r. u Burmistrza przeprowadzono kontrolę zgodności przetwarzania danych
osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz. Urz. UE L 119 z 2016 r., s. 1 ze zm.; dalej jako: RODO) oraz ustawą z 10.5.2018 r.
o ochronie danych osobowych (t.j.: Dz.U. z 2019 r. poz. 1781 ze zm.; dalej jako: OchrDanychU).
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych
Burmistrz, jako administrator, naruszył przepisy o ochronie danych osobowych. W związku z powyższym, w czerwcu
2019 r. Prezes UODO wszczął z urzędu postępowanie administracyjne.
Z uzasadnienia Prezesa UODO
Administrator może przetwarzać dane samodzielnie lub powierzyć ich przetwarzanie innemu podmiotowi. Kontrola
wykazała jednak, że Burmistrz nie zawarł umów powierzenia przetwarzania danych z podmiotami, uczestniczącymi
w procesie przetwarzania danych w ramach BIP. W przypadku udostępnienia danych osobowych bez podstawy
prawnej (w tym przypadku bez uprzednio zawartej umowy powierzenia), dochodzi do naruszenia zasady zgodności
z prawem (art. 5 ust. 1 lit. a RODO) oraz zasady poufności (art. 5 ust. 1 lit. f RODO). Burmistrz dopuścił tym samym
do braku kontroli nad prawidłowością procesu przetwarzania danych zawartych w BIP i nie wykazał, że następuje on
przy spełnieniu wymogów wynikających z przepisów RODO.
W BIP udostępniane są informacje publiczne na podstawie obowiązku ciążącego w tym zakresie na Burmistrzu,
wynikającym z art. art. 8 ust. 2 ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j.: Dz.U. z 2019 r. poz. 1429
ze zm.; dalej jako: DostInfPubU). Przepisy tej ustawy, a także przepisy rozporządzenia MSWiA z 18.1.2007 r.
w sprawie Biuletynu Informacji Publicznej (Dz.U. Nr 10, poz. 68 ze zm.) nie precyzują okresu udostępniania
informacji w BIP zarówno minimalnego, jak i maksymalnego.
Brak określonych przepisami prawa okresów przetwarzania udostępnionych informacji nie powoduje, że
informacje takie można przetwarzać bezterminowo. W wyniku oględzin strony BIP ustalono, że wśród
zamieszczonych tam dokumentów znajdują się oświadczenia majątkowe oraz informacje o wynikach naborów na
wolne stanowiska. Najstarsze informacje dotyczą naborów przeprowadzonych w 2012 r. i zawierają informacje
o wybranych kandydatach w zakresie: imię i nazwisko oraz miejsce zamieszkania. Najstarsze zamieszczone na
archiwalnej stronie BIP oświadczenia majątkowe dotyczyły 2010 r. Zgodnie z art. 24i ustawy z 8.3.1990 r.

o samorządzie gminnym (t.j.: Dz.U. z 2019 r. poz. 506 ze zm.; dalej jako: SamGminU), informacje zawarte
w oświadczeniach majątkowych radnych są jawne, z wyłączeniem informacji o adresie zamieszkania osoby
składającej oświadczenie oraz o miejscu położenia nieruchomości. Zgodnie z art. 24h ust. 6 SamGminU,
oświadczenie majątkowe przechowuje się przez 6 lat. Przepisy te stanowią o legalności przetwarzania, w zakresie
zarówno gromadzenia, jak i publikowania danych osobowych zawartych w oświadczeniach majątkowych.
Publikację ogłoszeń o naborach reguluje natomiast art. 13 ust. 1 ustawy z 21.11.2008 r. o pracownikach
samorządowych (t.j.: Dz.U. z 2019 r. poz. 1282 ze zm.), zgodnie z którym ogłoszenie o wolnym stanowisku
urzędniczym, w tym kierowniczym stanowisku oraz o naborze kandydatów na to stanowisko umieszcza się w BIP.
Niezwłocznie po przeprowadzonym naborze informacja o wyniku naboru jest upowszechniana przez umieszczenie
na tablicy informacyjnej w jednostce, w której był przeprowadzony nabór, oraz opublikowana w BIP przez okres co
najmniej trzech miesięcy.
Z materiału dowodowego zgromadzonego w sprawie wynika, że Burmistrz nie określił w procedurach
wewnętrznych terminu usuwania danych opublikowanych w BIP, jak również nie opracował procedur
dotyczących przeglądu zasobów danych w materiałach opublikowanych w BIP pod kątem zapewnienia
przetwarzania danych zgodnie z zasadą ograniczenia przechowywania. W związku z brakiem takich procedur,
jak stwierdzono w toku kontroli, na stronie BIP publikowane są dokumenty zawierające dane osobowe przez okres
dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, a nawet przez okres dłuższy, niż wynika
to z przepisów prawa określających okres przechowywania dokumentów zawierających dane osobowe, jak to ma
miejsce w odniesieniu do oświadczeń majątkowych. Ponadto, z uwagi na to, że przedmiotowa procedura regulować
ma istotne dla procesu przetwarzania danych osobowych czynności na tych danych w celu zapewnienia realizacji
zasady ograniczenia przechowywania, to należy ją traktować jako politykę ochrony danych (art. 24 ust. 2 RODO).
Odnosząc się do procesu przetwarzania danych osobowych w związku z publikacją nagrań z sesji rady miejskiej
wskazać należy, że na podstawie art. 20 ust. 1b SamGminU obrady rady gminy są transmitowane i utrwalane za
pomocą urządzeń rejestrujących obraz i dźwięk. Burmistrz, jako administrator, decydując się na wybór narzędzi
służących do transmisji danych w Internecie oraz utrwalania ich za pomocą urządzeń rejestrujących obraz i dźwięk
jest odpowiedzialny za proces przetwarzania tych danych oraz realizację zasad wynikających z przepisów RODO
(rozliczalność). W związku z obowiązkiem transmisji i publikacji obrad utworzony został kanał na YouTube oraz
zawarta została umowa z podmiotem zewnętrznym na transmisję posiedzeń organów Miasta w sieci Internet poprzez
platformę YouTube. Z chwilą zakończenia nagrania sesji, nagranie to zostaje automatycznie zapisane na stronie
YouTube, a w Urzędzie nie pozostaje żadna kopia tego nagrania. W związku z brakiem kopii nagrania sesji,
w przypadku utraty danych zamieszczonych na stronie YouTube, Burmistrz utraci dostęp do zapisu nagrania, a nie
mając odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku, nie ma możliwości
zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do
szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub
technicznego, o którym mowa w art. 32 ust. 1 lit. b oraz lit. c RODO. Decyzja o korzystaniu z kanału YouTube nie
została poprzedzona analizą możliwych ryzyk wynikających z korzystania z tego narzędzia podczas przetwarzania
danych osobowych uczestników sesji Rady Miejskiej. Decydując się na korzystanie z kanału YouTube nie wzięto pod
uwagę, że korzystanie przez administratora z zasobów i narzędzi oferowanych przez podmioty zewnętrzne, w tym
przypadku przez podmiot prowadzący kanał YouTube, może wiązać się z wyższym ryzykiem naruszenia ochrony
danych osobowych.
W toku kontroli stwierdzono także braki w zakresie prowadzenia rejestru czynności przetwarzania danych
osobowych. Zgodnie z art. 30 ust. 1 RODO, każdy administrator (lub przedstawiciel administratora) prowadzą
rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W urzędzie opracowany został
rejestr, w którym ujęte zostały 54 czynności przetwarzania. W rejestrze tym nie został jednak wskazany planowany
termin usunięcia danych osobowych poprzez wskazanie konkretnego okresu przechowywania, w rejestrze natomiast
odwołano się jedynie do jednolitego rzeczowego wykazu akt dla gmin. W rejestrze czynności przetwarzania nie
zostali również wskazani wszyscy odbiorcy danych, w tym podmioty przetwarzające, w tym nie wskazano podmiotu
prowadzącego kanał YouTube, na którym dostępne są nagrania sesji Rady Miejskiej.
Przy ustalaniu wysokości kary Prezes UODO wziął m.in. pod uwagę następujące okoliczności sprawy, działające na
niekorzyść Burmistrza oraz wpływające obciążająco na wymiar nałożonej kary finansowej:
1. Czas trwania naruszeń – stwierdzone nieprawidłowości nie zostały usunięte ani w toku kontroli przeprowadzonej
u Burmistrza, ani w toku postępowania administracyjnego.
2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora – udostępnienie przez Burmistrza
formularzy PIT-11 i PIT-37 w wersji niezanonimizowanej na stronie internetowej;
3. Umyślny charakter naruszenia – Burmistrz w związku z naruszeniem wskazanym w powyższym pkt 2
i przeprowadzonym w tym zakresie postępowaniem administracyjnym przez Prezesa UODO nie wdrożył

żadnych rozwiązań w celu przeciwdziałania w przyszłości tego typu naruszeniom, w tym procedury dotyczącej
przeglądu zasobów danych w materiałach opublikowanych w BIP.
4. Wysoki stopień odpowiedzialności administratora – wobec braku działań Burmistrza zmierzających do
zapewnienia odpowiedniego poziomu bezpieczeństwa danych oraz niewdrożenia stosownych polityk ochrony
danych;
5. Brak współpracy administratora po wszczęciu postępowania.
Ustalając wysokość kary, Prezes UODO nie znalazł podstaw do uznania, że zachodziły jakiekolwiek okoliczności
łagodzące, mające wpływ na ostateczny wymiar kary.
Z uwagi na to, że jest to pierwsza decyzja nakładająca administracyjną karę finansową na podmiot z sektora
publicznego, powyższa decyzja zapewne realizuje funkcję odstraszającą i represyjną. Wysokość nałożonej kary (40
000z zł) również świadczy o tym, że Prezes UODO surowo karze za naruszenia podstawowych zasad przetwarzania
danych osobowych. Warto przy tym zwrócić uwagę, że przy nakładaniu kary uwzględniono także wcześniejsze
naruszenie przepisów przez administratora, które było już przedmiotem oceny Prezesa UODO, a zostało wskazane
i w tej decyzji.
Decyzja Prezesa UODO z 18.10.2019 r.,ZSPU.421.3.2019

Prezes UODO nałożył karę finansową na Burmistrza za naruszenia związane z przetwarzaniem danych osobowych. Warto zwrócić uwagę na surowość decyzji, która ma funkcję odstraszającą i represyjną. Brak współpracy Burmistrza oraz brak działań naprawczych wpłynęły na ostateczną wysokość kary.