BIP a RODO

Do Elit Partner trafiają pytania czy z firmą informatyczną która utrzymuje Biuletyn Informacji Publicznej należy zawrzeć umowę powierzenia przetwarzania? 

Analiza zagadnienia

Na mocy art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018r. ( DzU. z 2018r. poz. 1000, poz. 1669) Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych i jest organem nadzorczym w rozumieniu rozporządzenia 2016/679, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postepowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar w sprawie swobodnego przepływu takich danych.

Decyzją z dnia 18 października 2019r. ( nr sprawy: ZSPU .421.3.2019 ) Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Burmistrza Aleksandrowa Kujawskiego przepisów:

art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych, tj. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych osobowych poprzez udostępnianie danych osobowych na rzecz T. Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: W. S.A. z siedzibą w G. oraz C. S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umów powierzenia danych osobowych, o której mowa w art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych, w związku z prowadzeniem strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim.

Sentencja decyzji

W sentencji decyzji Prezes UODO podniósł, że” … Należy tym samym uznać, że Burmistrz Miasta Aleksandrowa Kujawskiego, w związku z korzystaniem z serwera podmiotu zewnętrznego, tj. T. Sp. z o.o. z siedzibą w T., na którym znajdują się zasoby BIP Urzędu Miejskiego w Aleksandrowie Kujawskim oraz z usług podmiotu zewnętrznego w zakresie serwisowania strony internetowej BIP, tj. konsorcjum podmiotów: W. S.A. z siedzibą w G. oraz C. S.A. z siedzibą w K., nie zawarł z tymi podmiotami umowy powierzenia przetwarzania danych osobowych, a tym samym naruszył art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych.

W przypadku udostępnienia danych osobowych bez podstawy prawnej (bez uprzednio zawartej umowy powierzenia), następuje naruszenie zasady zgodności z prawem (art. 5 ust. 1 lit. a) ogólnego rozporządzenia o ochronie danych) oraz zasady poufności (art. 5 ust. 1 lit. f) ogólnego rozporządzenia o ochronie danych). Burmistrz nie zachował powyższych zasad zlecając prowadzenie BIP ww. podmiotom bez uprzedniego zawarcia umów powierzenia danych. Dopuścił tym samym do braku kontroli nad prawidłowością procesu przetwarzania danych zawartych w BIP i nie wykazał, że następuje on przy spełnieniu wymogów wynikających z przepisów ogólnego rozporządzenia o ochronie danych. W konsekwencji należy również uznać, że Burmistrz w tym zakresie naruszył także zasadę rozliczalności wynikającą z art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych.”

Podsumowanie

W związku z powyższym w naszej opinii decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 18 października 2019r. jest wiążąca dla jednostek sektora finansów publicznych w tym Jednostek Samorządu Terytorialnego w zakresie obowiązku zawierania umów powierzenia z podmiotami zewnętrznymi świadczącymi usługi dostępu do Biuletynu Informacji Publicznej.

Źródło: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 

Twoja Jednostka potrzebuje wsparcia z RODO? Polecamy nasz outsourcing

Udostępnij Treść
Inne Artykuły

Diagnoza cyberbezpieczeństwa JST

DODO a RODO

Ochrona sygnalistów w Urzędzie

Kontrola Komisji Rewizyjnej a RODO

Spółdzielnie Mieszkaniowe RODO

Straż Miejska a RODO i DODO

RODO a praca radnych – darmowy poradnik

Skarbówka żąda danych od Powiatów