UODO nakłada kolejne kary
W ostatnich dniach Urząd Ochrony Danych Osobowych informował o przyczynach i wysokości kar, jakie zostały nałożone za nieprzestrzeganie zasad ochrony danych osobowych.
Unijne i krajowe przepisy o ochronie danych osobowych mówią o wielu obowiązkach, które w każdym podmiocie publicznym i prywatnym powinny być spełnione, aby móc wykazać zgodność przetwarzania danych z przepisami.
Pamiętać należy o podstawowych zasadach przetwarzania danych, takich jak: zgodność z prawem, rzetelność, przejrzystość, ograniczenie celów, minimalizacja, czy zapewnienie integralności i poufności przetwarzanym danym.
Przyczyną nałożenia kary w wysokości 40 tys. zł na Urząd Miejski w Aleksandrowie Kujawskim był m.in.:
· brak umowy powierzenia przetwarzania danych osobowych z podmiotami, którym urząd przekazywał dane,
· brak procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania,
· brak przeprowadzenia analizy ryzyka związanej z publikacją nagrań z posiedzeń rady miejskiej w serwisie YouTube (bez utworzenia kopii zapasowych tych nagrań),
· brak wskazania wszystkich odbiorców danych w rejestrze czynności przetwarzania.
Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.
Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Kara w wysokości 201 tys. zł została nałożona przez UODO na jedną ze spółek za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. UODO stwierdził, że spółka:
· nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych,
· przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Uznał też, że działanie Spółki było umyślne, gdyż przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów skutkowało tym, że wycofanie zgody nie było skuteczne. W ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą.
Prezes UODO nie tylko nałożył karę finansową na spółkę, ale nakazał jej także dostosowanie do przepisów RODO procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych. Ma ona na to 14 dni od dnia doręczenia decyzji. Spółka musi też usunąć dane osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.
Źródło: uodo.gov.pl