Nieanonimizowana petycja w BIP – UODO ukarał burmistrza Myślenic
Publikacja w Biuletynie Informacji Publicznej niezanonimizowanej petycji z danymi 749 osób zakończyła się karą administracyjną. Prezes UODO uznał, że burmistrz Myślenic naruszył przepisy RODO, m.in. nie zgłaszając incydentu ochrony danych, mimo obowiązku. Organ podkreślił też, że nawet brak wysokiego ryzyka dla praw osób fizycznych nie zwalnia administratora z obowiązku analizy i odpowiedniej reakcji na incydent.
Sprawa dotyczy udostępnienia w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy Myślenice petycji zawierającej niezanonimizowane dane osobowe osób ją popierających. Dokument obejmował imiona, nazwiska, adresy zamieszkania oraz wzory podpisów 749 osób.
O zdarzeniu organ nadzorczy dowiedział się ze skargi osoby, której dane zostały ujawnione. Po przeprowadzeniu postępowania Prezes UODO, Mirosław Wróblewski, stwierdził naruszenie przepisów o ochronie danych osobowych przez administratora, którym jest burmistrz, i nałożył karę w wysokości 7 700 zł.
Czytaj też w LEX: Rola administratora i podmiotu przetwarzającego w gminie podczas wykonywania zadań własnych i zleconych >
Błąd techniczny nie zwalnia z odpowiedzialności
Burmistrz wnosił o umorzenie postępowania w zakresie niezgłoszenia naruszenia, argumentując, że sprawa była już analizowana w związku ze skargą indywidualną. Wskazywał też, że publikacja danych była wynikiem niezamierzonego błędu, a plik został później zastąpiony poprawnym.
Czytaj też w LEX: Problematyka przetwarzania danych osobowych w samorządzie terytorialnym na podstawie wybranych zagadnień >
W postępowaniu ustalono jednak, że nieprawidłowy dokument był dostępny w BIP przez kilkanaście dni. Administrator podkreślał, że pracownicy nie działali z zamiarem naruszenia prawa.
Prezes UODO uznał jednak, że brak umyślności nie eliminuje odpowiedzialności, jeśli doszło do naruszenia obowiązków wynikających z RODO.
Przeczytaj także: UODO skontroluje podmioty prowadzące BIP
Obowiązek zgłoszenia naruszenia do UODO
Prezes UODO przypomniał, że administrator danych ma obowiązek niezwłocznej oceny ryzyka po stwierdzeniu naruszenia oraz – w zależności od jej wyniku – zgłoszenia incydentu organowi nadzorczemu.
W analizowanej sprawie, mimo że nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator powinien zgłosić naruszenie.
Brak takiego obowiązku występuje jedynie wtedy, gdy analiza wykaże, że ryzyko jest mało prawdopodobne, co należy rozumieć jako faktyczny brak realnej możliwości wystąpienia negatywnych skutków. Europejska Rada Ochrony Danych podkreśla, że ten wyjątek powinien być interpretowany wąsko.
Sprawdź w LEX: Jaką rolę w procesie przetwarzania danych osobowych pełni firma wykonująca audyt z zakresu cyberbezpieczeństwa na zlecenie urzędu? >
Organ nadzorczy wskazał również na rolę dokumentowania incydentów. Wnioski z analizy zdarzenia powinny zostać odnotowane w wewnętrznej ewidencji naruszeń, zgodnie z zasadą rozliczalności wynikającą z RODO.
Zgłaszanie naruszeń ma znaczenie systemowe – pozwala nie tylko ocenić incydent, ale także wskazać środki zapobiegawcze i ograniczyć jego skutki.
Kara dla podmiotu publicznego
Przy wymierzaniu sankcji Prezes UODO wziął pod uwagę, że administrator jest jednostką samorządu terytorialnego, od której oczekuje się szczególnie wysokiego poziomu znajomości i stosowania prawa.
Podkreślono także, że:
- naruszenie miało poważny charakter,
- dane były dostępne publicznie przez kilkanaście dni,
- mimo działań organu administrator nie zmienił stanowiska w sprawie obowiązku zgłoszenia naruszenia,
- do momentu wydania decyzji nie zgłoszono incydentu do UODO.
W efekcie organ zdecydował o nałożeniu kary administracyjnej.
Czytaj też w LEX: Sztuczna inteligencja w administracji samorządowej >
