close
Share with your friends
Paragraf

Kolejna kara dotycząca RODO

Kolejna kara dotycząca RODO | Magdalena Wikarjak

Decyzją z dnia 25 kwietnia 2019 r. Prezes UODO nałożył na jeden ze związków sportowych administracyjną karę pieniężną w wysokości 55 750,50 złotych. Głównym powodem nałożenia kary według Prezesa UODO były nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych.

Naruszenie dotyczyło upublicznienia w sieci danych osobowych sędziów, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. Tymczasem jak podaje Prezes UODO nie ma żadnych podstaw prawnych, by w Internecie dostępny był aż tak szeroki zakres danych sędziów. Upubliczniając je, administrator stwarzał potencjalne ryzyko ich bezprawnego wykorzystania, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań.

Związek sam zauważył swoje naruszenie i dokonał jego zgłoszenia UODO. W treści zgłoszenia związek poinformował, że okres naruszenia trwał od października 2015 r. do lipca 2018 r. Przyczyną naruszenia miały być wewnętrzne działania niezamierzone. W zawiadomieniu wskazano, że osoby, których dane dotyczą zostaną powiadomione o naruszeniu, a także, że związek zwrócił się do wyszukiwarek internetowych za pośrednictwem firmy informatycznej o usunięcie danych z wyników wyszukania.

W opinii Prezesa UODO powiadomienie osób, których dane dotyczą, dostarczone przez związek, nie spełniało wymogów określonych w art. 34 RODO, wobec czego Prezes UODO wystąpił o podjęcie działań mających na celu zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych, w tym przekazanie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia oraz o wyeliminowaniu podobnych nieprawidłowości w przyszłości. Administrator potwierdził wykonanie działań wskazanych przez UODO. Prezes UODO otrzymał jednak skargę od jednego z podmiotów danych, którego dane osobowe zostały udostępnione na stronie internetowej. Na podstawie czynności wyjaśniających okazało się, że dane nie zostały usunięte ze strony internetowej. Dane miały być również widoczne w wyszukiwarkach internetowych. Dopiero po wszczęciu z urzędu postępowania administracyjnego w sprawie niezapewnienia bezpieczeństwa i poufności przetwarzanych danych osobowych, administrator dokonał kolejnych czynności zapewniających skuteczne usunięcie nadmiarowych danych. 

Jak wyjaśniał UODO, związek sportowy jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie internetowej, co wynika wprost z uchwały krajowego związku sportowego. Zakres publikowanych danych nie został określony. Administrator powinien zatem stosować zasadę minimalizacji danych, tj. powinien publikować tylko takie dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. 

Administrator dokonując zgłoszenia miał świadomość stanu bezprawności, a w procesie usuwania danych dokonał wyboru nieskutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie tych danych doprowadzając do ich udostępnienia nieograniczonej liczbie osób. Administrator w ocenie UODO nie dochował należytej staranności, poprzez zaniechanie sprawdzenia czy faktycznie ta publikacja została usunięta ze strony internetowej, nie podjął wystarczających działań prowadzących do trwałego usunięcia zawartości podstron, mimo oświadczenia złożonego Prezesowi Urzędu Ochrony Danych Osobowych, co skutkowało tym, że nie podjął odpowiednich czynności by te dane skutecznie usunąć. Dane zostały usunięte dopiero w toku postępowania przed organem nadzorczym.

Jak wynika z decyzji, administrator zgłaszający naruszenie, powinien dokładnie sprawdzić, czy usunął jego skutki i działając z należytą starannością, podjąć wszelkie środki, które doprowadzą do usunięcia stanu naruszenia. Warto zauważyć, że samodzielne zgłoszenie naruszenia oraz fakt, że aktualnie związek nie przetwarza danych osobowych sędziów na stronie internetowej nie stanowi okoliczności łagodzącej, ponieważ działania takie są wymagane przepisami prawa. Jak wskazuje decyzja, wzięto natomiast pod uwagę takie czynniki jak: dobrą współpracę z Prezesem UODO w trakcie postępowania, brak dowodów na osiągnięcie korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem, usunięcie naruszenia w trakcie postępowania przed organem nadzorczym, prowadzenie działalności niezarobkowej, a także brak dowodów na istnienie szkód dla osób których dane zostały ujawnione.

Bądź z nami w kontakcie