Stowarzyszenie sportowe „Maraton” z Gorlic organizowało amatorskie zawody sportowe i na Facebooku opublikowało listę uczestników, którzy wcześniej wyrazili zgodę na przetwarzanie swoich danych. Problem polegał jednak na tym, że choć w samym wpisie w arkuszu kalkulacyjnym widać było tylko imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku i jego edycji można było zobaczyć jeszcze inne ukryte tam informacje: e-mail i datę urodzenia. Pozwalało to na zidentyfikowanie tych osób, a nawet kontakt z nimi.
Wyciek danych: nieważne, kto zawinił
Informację o incydencie Prezes UODO otrzymał od osoby, która taki plik pobrała. Na prośbę o wyjaśnienia władze stowarzyszenia odpowiedziały, że doszło do pomyłki. Winą obarczyły wolontariusza pracującego przy zawodach. Prezes UODO wyjaśnił procedurę wynikającą z RODO: w przypadku takiego incydentu należy ocenić ryzyko, na jakie narażone zostały osoby, których dane ujawniono. A następnie zdecydować, czy należy zawiadamiać organ nadzorczy, czyli PUODO.
Stowarzyszenie tłumaczyło, że jest małą organizacją, musi polegać na pracy wolontariuszy. Nie ma wiedzy prawnej, a starostwo powiatowe odmówiło mu pomocy w tym zakresie. Poza tym dopełniło kluczowego obowiązku tj. uzyskało zgodę uczestników zawodów na przetwarzanie ich danych osobowych. Pozyskanie dodatkowych informacji z zamieszczonej listy startowej wymagało wykonania dodatkowych zabiegów.
Prezesa UODO nie interesowało jednak kto ponosi winę za błąd. Chodziło mu o to, jak stowarzyszenie zareagowało na skutki incydentu, w wyniku którego mogła zostać naruszona prywatność konkretnych osób. Choć kilkakrotnie prosił o udzielenie takiej informacji, to w ogóle jej nie otrzymał.
Czytaj więcej
Rzecznik dyscyplinarny jednej z izb adwokackich jednak będzie musiał zapłacić ponad 23 tys. zł kary za niewdrożenie "środków technicznych i organizacyjnych", co skutkowało naruszeniem ochrony danych wskutek zgubienia pendrive'a. Sąd administracyjny oddalił skargę rzecznika na decyzję Prezesa Urzędu Ochrony Danych Osobowych w tej sprawie.
