Kara PUODO dla związku sportowego

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę finansową na administratora przetwarzającego dane osobowe niezgodnie z RODO. W tym przypadku naruszenie dotyczyło bezpodstawnej publikacji danych, a ukaranym podmiotem został związek sportowy (nieujawniony).

Z decyzji PUODO wydanej 25 kwietnia 2019 roku wynika, że naruszenie bezpieczeństwa danych osobowych polegało na ujawnieniu danych osobowych sędziów, którzy uzyskali w 2015 roku licencje na prowadzenie zawodów sportowych. Związek opublikował dane 585 osób, ale można się domyślać, że sama liczba poszkodowanych nie była przesądzająca. Istotą naruszenia był katalog opublikowanych danych, w którym znalazły się imiona, nazwiska, numery PESEL oraz adresy zamieszkania.

Publikacja danych miała miejsce na stronach internetowych związku i interesujący jest fakt, że dane były dostępne przez blisko trzy lata – od października 2015 roku do lipca 2018 roku. Jednocześnie dowiadujemy się, że przyczyną publikacji były „wewnętrzne działania niezamierzone”, co jest zastanawiające biorąc pod uwagę długi okres trwania naruszenia. Związek zidentyfikował incydent, poinformował osoby, których dane zostały ujawnione oraz zgłosił ten fakt Prezesowi UODO. Skargę złożył też jeden z sędziów, dotkniętych naruszeniem.

Warto zwrócić uwagę na dwa elementy decyzji Prezesa UODO, które miały wpływ na zasądzenie i wysokość kary. Po pierwsze, zakres opublikowanych danych, który w ocenie Prezesa nie był uzasadniony powodami faktycznymi (przyznał również, że opublikowanie wyłącznie imion, nazwisk i miejscowości byłoby wystarczające z punktu widzenia celów administratora) oraz fakt, że ujawniony zestaw danych mógł posłużyć „do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzania ich prawami.

Po drugie, działania związku w celu usunięcia naruszenia okazały się powierzchowne i niewystarczające. Po stwierdzeniu incydentu związek skontaktował się z firmą informatyczną obsługującą stronę internetową i nakazał usunięcie danych, ale jak się później okazało nie sprawdzono czy faktycznie zostało to prawidłowo wykonane. W efekcie, w styczniu 2019 kontrolerzy PUODO bez większego wysiłku znaleźli dane osobowe sędziów w Internecie.

Prezes UODO wydając decyzję wziął pod uwagę dobrą współpracę administratora w trakcie trwania postępowania, usunięcie naruszenia w trakcie postępowania oraz brak dowodów na istnienie szkód dla osób, których dane zostały ujawnione i nałożył 13.000 euro kary (55 750,50 zł).

 

Źródło: https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Specjalista w dziedzinie ochrony danych osobowych - Inspektor Ochrony Danych (Data Protection Officer), doświadczony praktyk. Doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu.