Radi o gradu Aleksandrów Kujawski i GDPR kazni u iznosu oko 70.000 kuna za kršenje temeljnih načela i obveza iz GDPR-a.

Grad je angažirao vanjske tvrtke da održavaju servere za Javni informacijski portal Grada, ali nisu sklopili ugovore iz članka 28. GDPR-a, odnosno, ugovore o zaštiti podataka s vanjskim izvršiteljem obrade.

Time je gradonačelnik zapravo dao sve osobne podatke trećoj strani bez osiguranja valjanog pravnog temelja i sigurnosti obrada.

Drugi problem je što su se osobni podaci zadržavali beskrajno dugo, bez jasno definiranih rokova pohrane.

A zadnji dio priče je gotovo nevjerojatan - Grad je snimao svoje sjednice i pohranjivao ih samo na YouTube kanalu (?!?).

Nisu osigurali postojanje drugih kopija snimki sjednica a koje mogu itekako biti važne u budućnosti. A zaštita povjerljivosti pohrane snimki na YouTube nije ni razmatrana, a kamoli da su izvršene procjene rizika.

Je li to klasična priča s jedinicama lokalne uprave?

Postoji li u RH jedinica lokalne uprave koja je zaista izvršila usklađivanje s GDPR obvezama?

Mi znamo samo za jednu, koja je pod našom pažnjom i trajnim praćenjem usklađenosti kroz ulogu vanjskog Službenika za zaštitu podataka.

Više o temi:

https://edpb.europa.eu/news/national-news/2019/polish-supervisory-authority-imposed-first-administrative-fine-public-entity_en