Prezes Urzędu Ochrony Danych Osobowych (PUODO) decyzją z dnia 30 kwietnia 2024 roku o sygn. DKN.5131.58.2022 nałożył na Stowarzyszenie „Maraton” z siedzibą w Gorlicach przy ul. Bieckiej 10 (Stowarzyszenie), administracyjną karę pieniężną w wysokości 916,71 zł stwierdzając naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki.
W telegraficznym skrócie
Stowarzyszenie w 2022 roku, na swoim profilu w portalu społecznościowym opublikowało listę uczestników amatorskich zawodów sportowych, która jak się potem okazało zawierała nadmiarowe dane osobowe osób biorących udział w zawodach. Po pobraniu udostępnionej listy i jej edycji uzyskiwało się dostęp do większej ilości danych, niż pierwotnie opublikowane na profilu. Poza celowo udostępnionymi danymi uczestników w postaci imienia i nazwiska, płci, klubu oraz miejscowości, osoby, które pobrały listę i ją edytowały mogły też poznać adres e-mail i datę urodzenia uczestników. Naruszenie dotyczyło ok. 100 osób. O zaistniałym incydencie PUODO został poinformowany przez członka rodziny osób objętych naruszeniem.
W ramach dalszych czynności PUODO zwróciło się do Stowarzyszenia z prośbą o udzielenie wyjaśnień w zakresie dokonania przez nie analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie.
W trakcie postępowania Stowarzyszenie nie współpracowało z PUODO w wystarczającym zakresie, nie udzielało wyczerpujących odpowiedzi na zadane pytania, co miało wpływ na wysokość administracyjnej kary pieniężnej.
Na co organ zwrócił uwagę nakładając karę?
W tej sprawie PUODO stwierdził naruszenie przepisu art. 33 ust. 1 RODO (polegające na niezgłoszeniu PUODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia).
Najważniejszym obowiązkiem administratora danych osobowych, po powzięciu informacji o zaistnieniu naruszenia, jest przeprowadzenie analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędnej do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Analizy takiej administrator powinien dokonać niezależnie od tego z jakiego źródła dowie się o naruszeniu, a więc także, jeśli źródłem tym będzie wezwanie PUODO do złożenia wyjaśnień. Skutkiem przeprowadzenia takiej analizy powinna być, w zależności od wagi naruszenia, decyzja, czy zgłosić naruszenie do PUODO (art. 33 ust. 1 RODO), oraz czy poinformować osoby, których dane zostały objęte naruszeniem, o jego wystąpieniu (art. 34 ust. 1 RODO).
Stowarzyszenie oceniając zaistniałe naruszenie powinno było ustalić, że doszło do udostępnienia potencjalnie nieograniczonej liczbie odbiorców (publikacja w portalu społecznościowym) nadmiarowych danych osobowych uczestników zawodów, poprzez publikację listy uczestników w taki sposób, który umożliwiał po jej pobraniu i edycji dostęp do dodatkowych danych w postaci adresu e-mail oraz daty urodzenia uczestników. Na skutek ww. zdarzenia doszło do udostępnienia danych osobowych ponad 100 osób.
W ocenie PUODO doszło do naruszenia bezpieczeństwa prowadzącego do ujawnienia danych osobowych ponad stu uczestników zawodów sportowych osobie nieuprawnionej do otrzymania tych danych (względnie osobom nieuprawnionym do otrzymania tych danych, które mogły listę pobrać i dokonując edycji wejść w posiadanie dodatkowych danych). Doprowadziło to do naruszenia poufności danych tych osób.
Administrator ponadto powinien w ocenie PUODO mieć świadomość ryzyk związanych np. z możliwością edycji takiej listy przez osoby posiadające odpowiednie umiejętności, a nie podejmując działań mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, doprowadził wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane w taki sposób są udostępniane.
PUODO zwrócił także uwagę, że brak wyczerpujących wyjaśnień ze strony Stowarzyszenia, mimo jego wielokrotnych wezwań, świadczy o ignorowaniu obowiązków, jakie na administratorów danych zostały nałożone przez RODO.
PUODO podkreślił także umyślny charakter naruszenia przepisów RODO (art. 83 ust. 2 lit. b rozporządzenia 2016/679). W ocenie PUODO „Stowarzyszenie podjęło świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO. Nie ulega wątpliwości, że Stowarzyszenie, przetwarzając dane osobowe w związku z organizacją zawodów sportowych jest zobowiązane aby posiadać wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator podjął decyzję o rezygnacji z dokonania zgłoszenia naruszenia organowi nadzorczemu, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Administratora o możliwości wystąpienia naruszenia ochrony danych osobowych w Stowarzyszeniu mogącym skutkować ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, a następnie wszczął postępowanie administracyjne w przedmiocie naruszenia art. 33 ust. 1 rozporządzenia 2016/679 oraz kierował dalszą korespondencję, w której wskazywał, że dotyczy ona naruszenia ww. przepisu rozporządzenia 2016/679. Wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz kierowanie dalszej korespondencji w tej sprawie, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.”
Bardzo ważną kwestią podniesioną przez Prezesa UODO w decyzji jest także kwestia zasobów, jakie podmiot może przeznaczyć na realizację obowiązków wynikających z RODO. W trakcie składanych wyjaśnień Stowarzyszenie powoływało się na ograniczone możliwości organizacyjne (brak zasobów finansowych na zapewnienie odpowiedniej obsługi prawnej, wykonywanie czynności poprzez wolontariuszy), jednak organ uznał te okoliczności za pozostające bez znaczenia z punktu widzenia obowiązków Stowarzyszenia jako administratora danych. Oznacza to, że brak odpowiednich zasobów organizacyjnych, czy finansowych nie zwalnia administratora danych z wypełniania obowiązków jakie nakłada na niego RODO.
Ewa Eluszkiewicz – radca prawny
Comments