Wolontariusz niechcący za dużo ujawnił na FB. Jest kara za RODO

Nieprzeszkolony wolontariusz ujawnił na portalu społecznościowym zbyt wiele danych ponad stu uczestników zawodów sportowych. Prezes Urzędu Ochrony Danych Osobowych wymierzył karę, ale nie za to.

Publikacja: 16.05.2024 17:50

Wolontariusz niechcący za dużo ujawnił na FB. Jest kara za RODO

Foto: Adobe Stock

Stowarzyszenie sportowe „Maraton” z Gorlic organizowało amatorskie zawody sportowe i na Facebooku opublikowało listę uczestników, którzy wcześniej wyrazili zgodę na przetwarzanie swoich danych. Problem polegał jednak na tym, że choć w samym wpisie w arkuszu kalkulacyjnym widać było tylko imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku i jego edycji można było zobaczyć jeszcze inne ukryte tam informacje: e-mail i datę urodzenia. Pozwalało to na zidentyfikowanie tych osób, a nawet kontakt z nimi.

Wyciek danych: nieważne, kto zawinił 

Informację o incydencie Prezes UODO otrzymał od osoby, która taki plik pobrała. Na prośbę o wyjaśnienia władze stowarzyszenia odpowiedziały, że doszło do pomyłki. Winą obarczyły wolontariusza pracującego przy zawodach. Prezes UODO wyjaśnił procedurę wynikającą z RODO: w przypadku takiego incydentu należy ocenić ryzyko, na jakie narażone zostały osoby, których dane ujawniono. A następnie zdecydować, czy należy zawiadamiać organ nadzorczy, czyli PUODO. 

Stowarzyszenie tłumaczyło, że jest małą organizacją, musi polegać na pracy wolontariuszy. Nie ma wiedzy prawnej, a starostwo powiatowe odmówiło mu pomocy w tym zakresie. Poza tym dopełniło kluczowego obowiązku tj. uzyskało zgodę uczestników zawodów na przetwarzanie ich danych osobowych. Pozyskanie dodatkowych informacji z zamieszczonej listy startowej wymagało wykonania dodatkowych zabiegów. 

Prezesa UODO nie interesowało jednak kto ponosi winę za błąd. Chodziło mu o to,  jak stowarzyszenie zareagowało na skutki incydentu, w wyniku którego mogła zostać naruszona prywatność konkretnych osób. Choć  kilkakrotnie prosił o udzielenie takiej informacji, to w ogóle jej nie otrzymał. 

Czytaj więcej

Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a

Nie otrzymał także udostępnionej na FB listy uczestników zawodów sportowych, o którą też prosił w ramach wszczętego postępowania administracyjnego. Wobec tego przyjął, na podstawie materiału dowodowego zebranego w sprawie, że naruszenie mogło dotyczyć około stu osób oraz, że Stowarzyszenie „Maraton” nie przeprowadziło oceny ryzyka, jakie dla tych osób wynika z ujawnienia ich danych. Według Prezesa UODO, stowarzyszenie nie zrobiło tego, ponieważ nie rozumiało powagi sytuacji i nie zgłosiło mu zdarzenia. A to znaczy, że nie dopełniło ciążących na nim obowiązków.

- Zgłoszenie naruszenia nie jest biurokratyczną procedurą, ale skutecznym narzędziem pozwalającym na poprawę bezpieczeństwa przetwarzania danych osobowych. Historia zawodów organizowanych przez Stowarzyszenie „Maraton” dowodzi, że miało ono z tym poważny problem. Dane ponad stu osób trafiły w ręce osoby nieuprawnionej, która nie umiała z nimi postępować i upubliczniła je. W efekcie doszło do naruszenia ochrony danych osobowych wielu osób — twierdzi Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. I dodaje:

- To, że na listach zawodników nie było numeru PESEL, nie znaczy, że osób tych nie można zidentyfikować. Ryzyko nie było wysokie, ale nie można go ignorować.

Kara za lekceważenie procedur i PUODO

Gdyby stowarzyszenie przeprowadziło takie rozumowanie, wiedziałoby, że jako administrator danych ma prawny obowiązek zgłoszenia ich naruszenia do Prezesa UODO. Zyskałoby też podpowiedź, jak w takiej sytuacji postąpić. Bo ta konkretna sytuacja nie wymagała powiadamiania osób, których dane zostały ujawnione.

Za brak adekwatnej reakcji po wystąpieniu naruszenia ochrony danych osobowych Prezes UODO nałożył na Stowarzyszenie sportowe „Maraton” z Gorlic na Podkarpaciu karę finansową 916,71 zł.  Uznał, że w tym konkretnym przypadku taka kara jest wystarczająco odstraszająca oraz proporcjonalna do zaistniałych naruszeń.  

Będzie również spełniać funkcję prewencyjną, gdyż wskaże zarówno stowarzyszeniu z Gorlic, jak i innym administratorom danych na naganność lekceważenia procedur i obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych.

Stowarzyszenie sportowe „Maraton” z Gorlic organizowało amatorskie zawody sportowe i na Facebooku opublikowało listę uczestników, którzy wcześniej wyrazili zgodę na przetwarzanie swoich danych. Problem polegał jednak na tym, że choć w samym wpisie w arkuszu kalkulacyjnym widać było tylko imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku i jego edycji można było zobaczyć jeszcze inne ukryte tam informacje: e-mail i datę urodzenia. Pozwalało to na zidentyfikowanie tych osób, a nawet kontakt z nimi.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Prawo dla Ciebie
Prof. Andrzej Kidyba: decyzja o odsunięciu mnie od zajęć jest skandaliczna
Aplikacje i egzaminy
Nowa KRS nie zostawia suchej nitki na kandydacie Bodnara na dyrektora KSSiP
Edukacja i wychowanie
Duże zmiany w szkołach od 1 września 2024 r. Nowacka podpisała rozporządzenie
Prawo w Firmie
Ta ustawa ma chronić przed hakerami ze Wschodu. Firmy i samorządy protestują
Prawo karne
Prokuratura umarza postępowanie w sprawie Lisa. Posłanka: Nieprawdopodobne uzasadnienie
Materiał Promocyjny
CERT Orange Polska: internauci korzystają z naszej wiedzy