UODO nałożył 40 tys. zł kary na burmistrza Aleksandrowa Kujawskiego. Na tyle wyceniono naruszenie kilku paragrafów RODO, a do tego brak współpracy z organem ochrony danych.

Mianowicie, jak się okazało, urząd bezpodstawnie udostępniał dane osobowe zewnętrznym podmiotom, tzn. nie podpisał z nimi umów powierzenia. A powinien je zawrzeć z firmą, która przechowywała na serwerach zasoby Biuletynu Informacji Publicznej oraz z przedsiębiorstwem, dostarczającym oprogramowanie do BIP. Tym samym postąpił wbrew zapisom art. 28 ust. 3 RODO. A to tylko jedno ze stwierdzonych nieprawidłowości.

Urząd złamał również zasadę ograniczonego przechowywania (art. 5 ust. 1 lit. e RODO), gdyż m.in. trzymał oświadczenia majątkowe od 9 lat, a dopuszczalne jest 6 lat. Reguły integralności i poufności RODO (art. 5 ust. 1 lit. f) oraz rozliczalności (art. 5 ust. 2) także okazały się obce administratorowi – publikował nagrania z posiedzeń rady miasta na Youtube, bez kopii zapasowych i analizy ryzyka takich praktyk. Zasada rozliczalności została naruszona również z powodu braku w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, brakowało planowanego terminu usunięcia rekordów. Naruszono też zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a).

Z informacji UODO wynika, że urząd niespecjalnie przejął się złamaniem szeregu paragrafów RODO: nie współpracował z organem nadzoru, nie usunął nieprawidłowości, nie wdrożył środków zapobiegawczych na przyszłość.

Dlatego prezes UODO uznał, że nie może złagodzić kary. Czyli w kwocie 40 tys. zł i tak była wyśrubowana. Maksymalna kara za naruszenie RODO, jaka może zostać nałożona na jednostki publiczne, wynosi 100 tys. zł. Dla przedsiębiorców – do 20 mln euro lub 4 proc. rocznego obrotu. Pierwszy limit regulują przepisy krajowe, a drugi jest taki sam w całej UE.

UODO ostatnio nałożył 2,8 mln zł kary na Morele.net za naruszenie przepisów RODO w związku z wyciekiem danych klientów (spółka odwołała się od tej decyzji).