Jak już wcześniej pisaliśmy (pierwsza kara dla organu publicznego), przez Prezesa UODO została nałożona pierwsza kara finansowa na organ publiczny w wysokości 40% maksymalnej kary. Co można było zrobić, aby się przed nią uchronić?
Decyzją Prezesa UODO ZSPU.421.3.2019 nałożono karę na organ publiczny za:
- brak umów powierzenia,
- brak procedur zarządzania danymi na BIPie,
- brak analizy ryzyka odnośnie umieszczenia transmisji sesji tylko na YouTube,
- brak zabezpieczonych kopii nagrań sesji,
- brak uszczegółowienia Rejestru czynności przetwarzania danych.
By uniknąć podobnych zarzutów, podmiot powinien zastosować się do następujących zasad:
- Na stronie BIP powinny znajdować się tylko oświadczenia majątkowe osób, które pełnią funkcję zobowiązane do składania oświadczeń. Oświadczenia te powinny znajdować się na stronie BIP przez okres 6 lat od daty obowiązku złożenia oświadczenia. Dlatego ze strony BIP należy usunąć zbędne oświadczenia majątkowe.
- Należy zweryfikować czy są podpisane umowy powierzenia danych z podmiotami, na serwerach których znajduje się strona/BIP Urzędu.
- Należy zweryfikować czy Urząd dysponuje zabezpieczonymi kopiami nagrań z posiedzeń sesji Rady gminy/miasta.
- Każda komórka organizacyjna powinna zweryfikować „swoje” dane udostępnione na stronie BIP pod względem długości ich przechowywania.
- Na stronie BIP należy posiadać aktualne dane kontaktowe (dane pracowników). Listy pracowników należy aktualizować, gdy dojdzie do zmian kadrowych. Należy przejrzeć stronę BIP/stronę Urzędu, pod względem nieaktualnych danych i dokonać stosownych zmian.
Autor: Krzysztof Juszczak, Dyrektor Projektu,
Inspektor Ochrony Danych