Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą w Polsce karę finansową na podmiot publiczny.
Do naruszenia art. 28 ust. 3 RODO doszło poprzez niezawarcie umowy powierzenia z firmą, która na swoich serwerach utrzymywała zasoby Biuletyny Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim.
Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie.
Na burmistrza miasta została nałożona kara finansowa w wysokości 40 000 zł.
To jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego prowadzonego przez Prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Nie bez znaczenia na fakt nałożenia i wysokości kary było to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.