Prezes UODO nałożył karę finansową 916,71 zł na Stowarzyszenie sportowe „Maraton” z Gorlic za brak adekwatnej reakcji po wystąpieniu naruszenia ochrony danych osobowych. Nieprzeszkolony wolontariusz nieopatrznie ujawnił na portalu społecznościowym nadmiarowe dane ponad stu uczestników zawodów.
Stowarzyszenie sportowe „Maraton” z Gorlic organizowało zawody i na Facebooku opublikowało listę uczestników. Zawodnicy wyrazili zgodę na przetwarzanie swoich danych. Problem polegał jednak na tym, że choć w samym wpisie w arkuszu kalkulacyjnym widać było tylko imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku okazywało się, że są tam jeszcze ukryte informacje. Po edycji pliku, widać było informacje o adresie e-mail i dacie urodzenia. Pozwalało to na zidentyfikowanie lub nawiązanie kontaktu w tymi osobami.
Prezes UODO otrzymał, od osoby trzeciej, sygnał dotyczący incydentu i poprosił administratora o wyjaśnienia. Stowarzyszenie przyznało, że doszło do pomyłki. Winą za ten błąd władze stowarzyszenia obarczyły wolontariusza pracującego przy zawodach. Prezes UODO wyjaśnił wtedy procedurę wynikającą z RODO. W przypadku takiego incydentu należy ocenić ryzyko, na jakie narażone zostały osoby, których dane ujawniono. Ta analiza powinna dać odpowiedź na pytanie, czy o incydencie należy zawiadamiać organ nadzorczy.
Stowarzyszenie odpowiedziało, że doszło do nieporozumienia tłumacząc, że pozyskanie dodatkowych informacji z zamieszczonej listy startowej wymagało wykonania dodatkowych zabiegów. Stowarzyszenie jest małą organizacją, musi polegać na pracy wolontariuszy. Nie ma wiedzy prawnej, a starostwo powiatowe odmówiło mu pomocy w tym zakresie. Stowarzyszenie uzyskało zgodę uczestników zawodów na przetwarzanie ich danych osobowych, co uznało za kluczowy obowiązek na nim ciążący.
Nie o to pytał jednak Prezes UODO. Nie chodziło mu o to, „kto jest winien”, ale jak Stowarzyszenie zareagowało na skutki incydentu, w wyniku którego mogła zostać naruszona prywatność konkretnych osób.
Prezes UODO kilkakrotnie prosił o udzielenie informacji, ale ich nie otrzymał. W końcu wszczął postępowanie administracyjne, co wynika z jego obowiązków i uprawnień. Poprosił o wskazanie liczby osób, których dane osobowe zostały udostępnione na portalu społecznościowym w formie listy uczestników zawodów sportowych. Odpowiedzi nie otrzymał. Wobec tego przyjął, na podstawie materiału dowodowego zebranego w sprawie, że naruszenie mogło dotyczyć około stu osób oraz, że Stowarzyszenie nie przeprowadziło oceny ryzyka jakie dla tych osób wynika z ujawnienia ich danych. Stowarzyszenie nie zrobiło tego, ponieważ nie rozumiało powagi sytuacji i nie zgłosiło zdarzenia do Prezesa UODO. W efekcie nie dopełniło ciążących na nim obowiązków.
Prezes UODO wyjaśnia, że zgłoszenie naruszenia nie jest biurokratyczną procedurą, ale skutecznym narzędziem pozwalającym na poprawę bezpieczeństwa przetwarzania danych osobowych. Historia zawodów organizowanych przez Stowarzyszenie „Maraton” dowodzi, że miało ono z tym poważny problem. Dane ponad stu osób trafiły w ręce osoby nieuprawnionej, która nie umiała z nimi postępować i upubliczniła je. W efekcie doszło do naruszenia ochrony danych osobowych wielu osób.
To, że na listach zawodników nie było numeru PESEL, nie znaczy że osób tych nie można zidentyfikować. Ryzyko nie było wysokie, ale nie można go ignorować. Gdyby Stowarzyszenie przeprowadziło to rozumowanie, wiedziałoby, że ma prawny obowiązek – jako administrator tych danych – zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO. Ten podpowiedziałby, co zrobić dalej. Ta konkretna sytuacja nie wymagała konieczności powiadamiania osób, których dane zostały ujawnione, jednak procedury obchodzenia się z danymi w Stowarzyszeniu „Maraton” wymagają poprawy.
Źródło: UODO