Prezes Urzędu Ochrony Danych Osobowych (UODO) decyzją z dnia 25 kwietnia 2019 roku nałożył drugą w historii karę administracyjną za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Tym razem administratorem, który został ukarany jest Dolnośląski Związek Piłki Nożnej (DZPN), a naruszenie polegało na umieszczeniu zbyt szerokiego zakresu danych osobowych sędziów piłkarskich (m.in. peseli i adresów zamieszkania), którym przyznano licencje, na swojej stronie internetowej.
Ciekawym wątkiem w niniejszej sprawie jest fakt, iż kara została nałożona na DZPN pomimo, iż ten zlecił podmiotowi zewnętrznemu zajmującemu się obsługą swojej strony internetowej usunięcie naruszenia ale nie dokonał weryfikacji podjętych przez ten podmiot działań, na skutek czego dostęp do danych osobowych sędziów był nadal możliwy. Jak wskazuje Prezes UODO cyt. „pomimo stwierdzonego naruszenia przepisów rozporządzenia 2016/679 przez DZPN w dniu […] lipca 2018 r. nie zastosował on środków, które uniemożliwiałyby dostęp do danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania, co skutkowało dalszym udostępnianiem tych danych nieokreślonej liczbie osób, tym samym podjął ograniczone działania, które nie przyczyniły się do wyeliminowania potencjalnych szkód.”
Zachęcamy do zapoznania się szczegółowo z treścią decyzji Prezesa UODO (link poniżej) gdyż wskazuje ona, iż w przypadku incydentu dotyczącego ochrony danych osobowych na administratorze ciąży bardzo szeroki obowiązek monitorowania i aktywnego nadzorowania usuwania skutków naruszenia szczególnie w przypadku korzystania w tym celu z usług i działań podmiotów zewnętrznych.