Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych, nałożyła drugą karę za naruszenie RODO (unijnego rozporządzenia o ochronie danych osobowych) na jeden ze związków sportowych. Decyzję wydała 25 kwietnia, ale dopiero w czwartek 16 maja ją ujawniła. O tym, że będzie kolejna kara, pisaliśmy w Prawo.pl już w marcu. Wszystko wskazuje na to, że Dolnośląski Związek Piłki Nożnej ma zapłacić 55750,50 zł za to, że ujawnił w sieci dane 585 osób, którym przyznano licencje sędziowskie w 2015 r. Podano nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. Tymczasem według prezes UODO, nie ma żadnych podstaw prawnych, by w internecie dostępny był aż tak szeroki zakres danych sędziów. - Upubliczniając je, administrator stwarzał potencjalne ryzyko ich bezprawnego wykorzystania, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań - tłumaczy prezes.
Trafna decyzja
Zdaniem Macieja Gawrońskie, radcy prawnego, partnera w kancelarii Gawroński & Piecuch decyzja wydaje się trafna, choć znowu brakuje w niej trochę pogłębionej analizy, co do stanu faktycznego i potencjalnych konsekwencji. - Sędzia sportowy to funkcja związana z ryzykiem, o czym raczej powszechnie wiadomo - tłumaczy Maciej Gawroński. - Stąd jego dane, szczególnie adresowe, nie powinny być publiczne. Do tego ujawnienie PESEL naraża takie osoby na „złośliwe psikusy”. To moim zdaniem można było w uzasadnieniu wskazać - ocenia Maciej Gawroński.
Piotr Liwszic, specjalista do spraw ochrony danych w ODO 24, uważa, że UODO powinien też pochylić się nad kwestią aktualności opublikowanych danych. - O ile numer PESEL nie mógł się zmienić, to już adres zamieszkania - tak - mówi Liwszic.
Związek sam zgłosił naruszenie do UODO w lipcu 2018 r. Podkreślił w nim, że powiadomił osoby, których dane dotyczą o naruszeniu, a także zwrócił się do wyszukiwarek internetowych za pośrednictwem firmy informatycznej o usunięcie danych z wyników wyszukania. Tyle, że w styczniu 2019 r. ktoś powiadomił telefonicznie UODO, że dane wciąż można znaleźć w internecie. Dopiero po ponownej interwencji, zostały one usunięte z sieci.
95,30 zł za dane jednego sędziego
Czy blisko 57 tys. zł to dużo za naruszenie RODO przez ponad pół roku? Przypomnijmy, że pierwsza kara nałożona przez Edytę Bielak-Jomaa wynosi blisko 1 mln złotych. Spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane.
Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński wskazuje, że wychodzi 95,30 zł za sędziego. Jego zdaniem to wysoka kara.
- Proste przeliczenie na 2,5 miliony rekordów ujawnionych z Morele.net prowadzi do astronomicznych sum - zauważa mec. Litwiński.
Czytaj więcej o wyciekach zgłoszonych do UODO, m.in. przez morele.net >>
- Trudno powiedzieć, czy druga kara jest wysoka, czy niska - mówi Maciej Gawroński. - Na pewno związek sportowy to jakoś odczuje. Przy śmiesznych 35 tysiącach złotych, jakie Urząd Ochrony Konkurencji i Konsumentów nałożył na firmę Smak i Zdrowie (dawniej Philipiak Polska), to jest jednak kara wysoka - ocenia Maciej Gawroński
Zgłoszenie naruszenia to nie jest okoliczność łagodząca
Ustalając wysokość kary, prezes UODO wziął pod uwagę m.in. czas trwania naruszenia oraz fakt, że dotyczyło dużej grupy osób. Co prawda związek sam dostrzegł swój błąd i zgłosił naruszenie do UODO, ale nie sprawdził, czy zostało ono od razu skutecznie usunięte przez firmę zewnętrzną. Co więcej prezes UODO podkreśla w decyzji, że samodzielne zgłoszenie naruszenia oraz fakt, że aktualnie związek nie przetwarza danych osobowych sędziów na stronie internetowej nie stanowi okoliczności łagodzącej, ponieważ działania takie są wymagane przepisami prawa. To ważna informacja dla tysiąca administratorów. Od 25 maja 2018 r., czyli od dnia stosowania RODO, do 5 kwietnia 2019 r. do UODO zgłoszono bowiem aż 3885 naruszeń.
Zobacz procedurę: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >
UODO uwzględnił jednak jako okoliczności łagodzące m.in. dobrą współpracę ze związkiem i brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.
Podobne sprawy skończyły się bez kary
Piotr Liwszic zwraca uwagę na jeszcze jedną kwestię - różne podejście UODO do naruszeń. - W decyzji z 16 kwietnia 2019 r. nie została nałożona kara, mimo stwierdzenia naruszenia przepisów RODO, bo niezgodne z prawem udostępnienie danych osobowych było działaniem jednorazowym, które aktualnie nie jest kontynuowane - tłumaczy Piotr Liwszic. Ta decyzja dotyczy burmistrza, który przekazał lokalnej gazecie dane osobowe byłej pracownicy, w tym dotyczące rozwiązania z nią umowy o pracę. - Trudno zrozumieć, dlaczego burmistrz nie został ukarany, a związek, który podjął działania w celu usunięcia naruszenia tak - zastanawia się Piotr Liwszic.
Sprawdź w LEX SIP jak wygląda kontrola UODO:
- Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Ustalenie wyników w protokole kontroli przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
Cena promocyjna: 95.19 zł
|Cena regularna: 119 zł
|Najniższa cena w ostatnich 30 dniach: zł