Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości 916,71 zł na stowarzyszenie sportowe „Maraton” z Gorlic (woj. podkarpackie) za brak adekwatnej reakcji na incydent związany z naruszeniem ochrony danych osobowych. Incydent miał miejsce w wyniku działań nieprzeszkolonego wolontariusza, który nieświadomie ujawnił na portalu społecznościowym nadmiarowe dane ponad stu uczestników zawodów sportowych.
Szczegóły incydentu
Stowarzyszenie „Maraton” organizowało zawody sportowe i na swojej stronie na Facebooku opublikowało listę uczestników. Chociaż zawodnicy wyrazili zgodę na przetwarzanie swoich danych, problem pojawił się w momencie publikacji listy. W widocznym wpisie zamieszczonym na portalu społecznościowym widniały jedynie imiona, nazwiska, płeć, klub oraz miejscowość uczestników. Jednakże po pobraniu pliku okazało się, że w arkuszu kalkulacyjnym ukryte były dodatkowe informacje, takie jak adresy e-mail oraz daty urodzenia, które mogły umożliwić identyfikację i nawiązanie kontaktu z tymi osobami.
Reakcja UODO
Prezes UODO otrzymał sygnał o incydencie od osoby trzeciej i natychmiast poprosił administratora danych o wyjaśnienia. Stowarzyszenie przyznało, że doszło do pomyłki, obwiniając wolontariusza pracującego przy zawodach. UODO podkreślił, że istotne jest nie tyle wskazanie winnego, co adekwatna reakcja na skutki incydentu, które mogły naruszyć prywatność uczestników.
Brak adekwatnej reakcji
Pomimo kilkukrotnych próśb o udzielenie informacji, Stowarzyszenie nie dostarczyło odpowiednich wyjaśnień ani nie przeprowadziło oceny ryzyka wynikającego z ujawnienia danych osobowych. W związku z tym Prezes UODO wszczął postępowanie administracyjne. Na podstawie zgromadzonego materiału dowodowego ustalono, że naruszenie dotyczyło około stu osób oraz że Stowarzyszenie nie przeprowadziło analizy ryzyka ani nie zgłosiło incydentu do UODO, co jest obowiązkiem administratora danych.
Konsekwencje i wnioski
Prezes UODO zaznaczył, że zgłoszenie naruszenia nie jest biurokratyczną procedurą, lecz skutecznym narzędziem poprawy bezpieczeństwa przetwarzania danych osobowych. Incydent dowodzi, że Stowarzyszenie „Maraton” miało poważne problemy z ochroną danych. Dane osobowe ponad stu osób zostały ujawnione, co stanowiło naruszenie ich prywatności.
Choć na listach zawodników nie było numerów PESEL, ujawnione informacje mogły pozwolić na identyfikację tych osób. Pomimo że ryzyko nie było wysokie, nie można go ignorować. Stowarzyszenie, będąc administratorem danych, miało obowiązek zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO, co mogłoby pomóc w podjęciu odpowiednich działań.
Potrzeba poprawy procedur
Incydent wykazał potrzebę poprawy procedur obchodzenia się z danymi osobowymi w Stowarzyszeniu „Maraton”. Prezes UODO podkreślił, że chociaż ta konkretna sytuacja nie wymagała powiadamiania osób, których dane zostały ujawnione, to stowarzyszenie powinno przeprowadzić odpowiednią analizę ryzyka i zgłosić naruszenie do UODO.
Nałożona kara finansowa ma na celu przypomnienie, że ochrona danych osobowych jest kluczowym elementem działalności każdej organizacji, a naruszenie tych zasad może prowadzić do poważnych konsekwencji prawnych i finansowych.