Pierwsza kara dla jednostki samorządu terytorialnego za złamanie przepisów RODO. Aleksandrów Kujawski musi zapłacić 40 tysięcy złotych. W tle decyzji pojawiają się problemy z transmisją obrad Rady Gminy przez platformę YouTube.
Dzień 18 października 2019 r. może być przełomową datą dla polskich samorządowców. Prezes Urzędu Ochrony Danych Osobowych nałożył w tym dniu karę na burmistrza Aleksandrowa Kujawskiego. Przyczyn tej decyzji było kilka, ale jedna powinna zwrócić uwagę wszystkich użytkowników popularnego kanału do publikacji materiałów wideo, a już na pewno urzędników, którzy umieszczają w nim transmisję z obrad lub inne nagrania zawierające dane osobowe.
Brak dokumentów RODO
Aleksandrów Kujawski transmitował obrady Rady Miasta za pomocą portalu YouTube. Robił to publikując link na stronie Biuletynu Informacji Publicznej. Urząd nie dysponował żadną inną wersją tych materiałów, nie przeprowadził też stosownej analizy ryzyka tego stanu rzeczy. Co więcej, urząd nie posiadał wymaganych prawem umów powierzenia danych osobowych z podmiotami, którym dane te przekazywał. Taki stan rzeczy został uznany przez Urząd jako nie gwarantujący bezpieczeństwa danych osobowych osób, których dotyczą.
Sprawdź, jak transmitować sesję zgodnie z RODO
Uzasadnienie kary
Decyzja o korzystaniu z kanału YouTube nie została poprzedzona analizą możliwych ryzyk wynikających z korzystania z tego narzędzia podczas przetwarzania danych osobowych uczestników sesji Rady Miejskiej. W szczególności, decydując się na korzystanie z kanału YouTube nie wzięto pod uwagę, że korzystanie przez administratora z zasobów i narzędzi oferowanych przez podmioty zewnętrzne, w tym przypadku przez podmiot prowadzący kanał YouTube, może wiązać się z wyższym ryzykiem naruszenia ochrony danych osobowych ze względu na fakt, że środki organizacyjne i techniczne wykorzystywane dla ochrony danych osobowych opublikowanych na YouTube zostały określone i wdrożone przez Google LLC (z siedzibą w USA), właściciela YouTube. Analiza ryzyka dla przetwarzania danych osobowych w związku z ich publikacją w BIP jest szczególnie istotna ze względu na fakt, że Burmistrz Aleksandrowa Kujawskiego wykorzystuje kanał YouTube zarówno w celu transmisji danych na YouTube z sesji Rady Miejskiej, jak i w celu dalszego przechowywanie nagrań z sesji wyłącznie na serwerach YouTube (nie posiada własnych kopii zapasowych nagrań – co także może prowadzić do naruszenia zasady ciągłości procesów). Brak analizy ryzyka i brak procedur doprowadził do naruszenia zasady rozliczalności – art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych.
Podpisać umowę z YouTube
W rejestrze czynności przetwarzania nie zostali również wskazani wszyscy odbiorcy danych: nie wskazano podmiotu prowadzącego kanał YouTube, na którym dostępne są nagrania sesji Rady Miejskiej Aleksandrowa Kujawskiego. Urząd nie dysponował umową powierzenia zawartą z firmą prowadzącą portal. Tu pojawia się niezwykle ważne pytanie. Czy gmina była w stanie uregulować swoje kontakty z amerykańskim gigantem w sposób zgodny z prawem, a w szczególności z przepisami RODO?
Portal YouTube sam siebie określa jako platformę dystrybucji oryginalnych materiałów wideo. Tym samym niejako ogranicza swoją odpowiedzialność na nagrania transmitowane za jego pośrednictwem. Polityka prywatności serwisu zawiera deklarację troski o powierzone dane osobowe, ale lektura dokumentu budzi pewne wątpliwości co do jego zgodności z przepisami RODO. Przykład? Miejsce przechowywania danych osobowych. Serwis sam przyznaje, że utrzymuje swoje serwisy w różnych miejscach na całym świecie, w tym, jak można się domyśleć, poza granicami Unii Europejskiej. Gdzie dokładnie? Nie wiadomo. Podobnie rzecz ma się z przekazywaniem danych osobowych. Dane przekazywane są „podmiotom stowarzyszonym i innym zaufanym firmom lub osobom”. Jakim dokładnie? Również nie wiadomo. Inną kwestią jest umowa przetwarzania danych osobowych przez serwis. Trudno znaleźć informację o tym, czy komukolwiek udało się podpisać taką umowę z właścicielami platformy. Kara nałożona na Aleksandrów może być początkiem szerokiej dyskusji na temat ochrony danych osobowych przetwarzanych za pomocą YouTube.
Wysokość kary – może być jeszcze więcej?
Pamiętajmy, że nałożona kara nie została wymierzona na maksymalnym poziomie przewidzianym przez prawo. Ustawa o ochronie danych osobowych przewiduje górną granicę kar dla podmiotów publicznych w wysokości 100 000zł.
źródło: e urzędnik
