201911.09
0

40.000 zł dla Burmistrza Aleksandrowa Kujawskiego. Naruszenie RODO z YouTube w tle.

in Alerty prawne Tags: ,

Prezes Urzędu Ochrony Danych Osobowych, po przeprowadzonej kontroli w Urzędzie Miejskim w Aleksandrowie Kujawskim stwierdził naruszenia obowiązującego prawa w następujących obszarach:

  • niezgodnie z prawem udostępnianie danych osobowych na rzecz T. Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: W. S.A.
    z siedzibą w G. oraz C. S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umów powierzenia danych osobowych, w związku z prowadzeniem strony internetowej Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim,
  • brak odpowiednich polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych,
  • nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza Aleksandrowa Kujawskiego z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego,
  • niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach YouTube, bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim,
  • niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie Biuletynu Informacji Publicznej Urzędu Miasta w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania,

Na czym polegały naruszenia ?

W toku kontroli okazało się, że Administrator (w niniejszym przypadku Burmistrz) nie zawarł umów powierzenia przetwarzania danych osobowych z firmą, na serwerach której znajdował się Biuletyn Informacji Publicznej oraz z podmiotem (konsorcjum) zajmującym się usługami serwisowymi związanymi z tym biuletynem. Administrator nie przedstawił również żadnych aneksów do wiążących go umów dostosowujących te umowy do RODO.


Kolejnym naruszeniem była publikacja nagrań z sesji rady miejskiej, przy pomocy firmy zewnętrznej, na kanale Youtube. Każda sesja, tuż po jej zakończeniu zapisywana była na specjalnie do tego utworzonym kanale Youtube. Co prawda obowiązek nagrywania sesji rady miejskiej oraz publikacja takiego nagrania jest obowiązkowa, niemniej jednak UODO uznał, że administrator nie dołożył należytej staranności w zakresie m.in. zabezpieczenia danych osobowych, gdyż żadna kopia nagrania nie zostawała w urzędzie. W przypadku zaś utraty danych zawartych w serwisie Youtube Burmistrz utraci dostęp do zapisu nagrania, a nie mając odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku, nie ma możliwości zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o którym mowa w art. 32 ust. 1 lit. b) oraz lit. c) ogólnego rozporządzenia o ochronie danych.

Co ważne UODO uznał, że Burmistrz nie wskazał, iż istnieją procedury, które dawałyby gwarancję ochrony danych osobowych przetwarzanych na kanale YouTube, zwłaszcza że “decyzja o korzystaniu z kanału YouTube nie została poprzedzona analizą możliwych ryzyk wynikających z korzystania z tego narzędzia podczas przetwarzania danych osobowych uczestników sesji Rady Miejskiej. W szczególności, decydując się na korzystanie z kanału YouTube nie wzięto pod uwagę, że korzystanie przez administratora z zasobów i narzędzi oferowanych przez podmioty zewnętrzne, w tym przypadku przez podmiot prowadzący kanał YouTube, może wiązać się z wyższym ryzykiem naruszenia ochrony danych osobowych ze względu na fakt, że środki organizacyjne i techniczne wykorzystywane dla ochrony danych osobowych opublikowanych na YouTube zostały określone i wdrożone przez Google LLC (z siedzibą w USA), właściciela YouTube.


UODO zauważył również, w toku kontroli, że w urzędzie co prawda prowadzony jest rejestr czynności przetwarzania danych osobowych, jednak nie został wskazany w nim planowany termin usunięcia danych osobowych poprzez wskazanie konkretnego okresu przechowywania, w rejestrze odwołano się w tym zakresie jedynie do jednolitego rzeczowego wykazu akt dla gmin. “W rejestrze czynności przetwarzania nie zostali również wskazani wszyscy odbiorcy danych, w tym podmioty przetwarzające, podczas gdy w toku kontroli przedstawione zostały umowy z podmiotami świadczącymi usługę udostępnienia serwera, na którym przechowywane są zasoby BIP oraz usługę gwarancji w związku z utworzeniem regionalnego biuletynu informacji publicznej, co wiąże się z dostępem przez te podmioty do danych osobowych przetwarzanych przez Burmistrza w związku z prowadzeniem BIP. Ponadto, w rejestrze czynności przetwarzania nie wskazano podmiotu prowadzącego kanał YouTube, na którym dostępne są nagrania sesji Rady Miejskiej Aleksandrowa Kujawskiego “

Jak wyglądałą kontrola UODO ?

Kontrola UODO polegała w głównej mierze na odebraniu od pracowników Urzędu Miejskiego w Aleksandrowie Kujawskim ustnych wyjaśnień oraz dokonano oględzin systemów informatycznych służących do przetwarzania danych osobowych. Dokonano również oględzin strony BIP. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza Aleksandrowa Kujawskiego. Zakresem kontroli objęty został sposób przetwarzania danych osobowych przez Burmistrza Aleksandrowa Kujawskiego w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.

Fot. Fotolia