Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Burmistrz Aleksandrowa Kujawskiego ma zapłacić 40 000 zł kary za nieprzestrzeganie RODO
Treść decyzji UODO można przeczytać tutaj. W gąszczu informacji mogą zniknąć te najistotniejsze, czyli co było przyczyną nałożenia kary?
Po pierwsze brak umów dotyczących powierzenia przetwarzania danych osobowych z firmami obsługującymi strony Urzędu na swoich serwerach:
Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.
Po drugie:
nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza Aleksandrowa Kujawskiego z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego,
Po trzecie
niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim,
Po czwarte – braki w dokumentacjach.
Kara 40 000 złotych została nałożona również ze względu iż:
stwierdzone nieprawidłowości nie zostały usunięte ani w toku kontroli przeprowadzonej u Burmistrza, ani w toku postępowania administracyjnego.
Podsumowując – to pierwsza kara nałożona na jednostkę administracji publicznej w związku z naruszeniem RODO.
–ms
ło cie panie… Jutro majstruje pismo do o12.pl :)
Co mogło umknąć: jest to również pierwsza decyzja UODO dotycząca bezkrytycznego używania YouTube przez urzędy. Co prawda zdaje się on⁽¹⁾ dotyczyć przetwarzania danych osobowych osób uwiecznionych na nagraniach, a nie ochrony odbiorców przed działaniami Alphabetu, ale to nadal znaczący krok w kierunku ustalenia legalności takich poczynań.
____
⁽¹⁾ Niestety nie znamy uzasadnienia wniosku do UODO.
„niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim”
— WYLACZNIE — a jak to sie ma do RODO ? skoro przychowywalby dodatkowa kopie lokalnie, to zwiekszyloby ryzyko wycieku danych osobowych. Za to dostal kare z RODO, ze przechowywal „wylacznie” na YT ? Moze to ma sens z uwagi na dostepnosc danych ale chyba to nie sa kompetencje RODO :)
O wycieku w sensie np. wykradzenia trudno mówić w przypadku publikowanych nagrań. One są już z założenia wyciekłe.
Art. 5 ust. 1 lit. f mówi o integralności danych. Administrator jest zobowiązany chronić dane przez uszkodzeniem/modyfikacją albo przypadkową utratą. UM wysyła dane do publikacji na YouTube, a sami pozostają z niczym.
Orzeczenie bez sensu, jak coś jest publikowane w internecie na bip to przecież jest to jawne, po to zresztą jest publikowane. Chyba że chodzi o beckup, ale to będzie problem urzędu jak coś padnie. Analiza ryzyka YouTube, no trzeba mieć wyobraźnię urzędnika, który pewnie w życiu nic nie zrobił tylko żyje w świecie teorii i procedur. Na mój rozum do obronienia jest to w sądzie.
UODO nigdzie nie komentuje kwestii upublicznienia danych, bo oczywistym jest, że są one celowo publikowane — i to prawdopodobnie na podstawie UoPAiPP, więc RODO nic do tego.
Orzeczenie dotyczy powierzania tych danych firmom, z którymi urząd nie miał stosownych umów (publiczność danych nie oznacza, że firma może sobie je swobodnie przetwarzać), jak również braku chronienia tych danych przed przypadkową utratą i przed uszkodzeniem/modyfikacją. Podnosi również kwestię tego, że dalej przetwarzane były dane, które już dawno powinny przestać być przetwarzane — aczkolwiek tutaj zdaje się to być efektem złej interpretacji przepisów w dobrej, choć źle umotywowanej wierze.⁽¹⁾
Burmistrz nie zajmuje się tym samodzielnie. Podobnie jak w większości innych tematów zatrudnia do tego osoby posiadające kwalifikacje. Chyba nie sądzisz, że np. budując drogę osoba piastująca ten urząd studiuje wszystkie tematy związane z drogownictwem i jeszcze sama łopatą na budowie macha. Tak samo nie on zajmuje się przetwarzaniem (w tym ochroną) danych. Od tego ma odpowiednie osoby, które ma obowiązek wyznaczyć. I za to jest kara, że urząd nie wykonał rzeczy, do których się zobowiązał przed społeczeństwem.
____
⁽¹⁾ Oświadczenia majątkowe służą prześwietlaniu osób w trakcie pełnienia przez nich obowiązków i ew. weryfikacji niedługo potem. Nikogo nie powinno interesować, co ktoś miał ponad 11 lat temu — takie informacje służą już tylko rozgrywkom politycznym i manipulowaniu emocjami wyborców, nie faktycznej przejrzystości. Wyjątkiem są cele historyczne/statystyczne, ale one nie leżą w kompetencjach urzędu.
Ale pierdoły!
Straszny gangus z tego burmistrza, że jego urząd za mało kwitów naprodukował. Kwity, kwity i kwity, a świat stanie się lepszy. Uh… i moje pieniądze na to idą…