Komitet Inicjatywy Ustawodawczej „Stop LGBT” z karą UODO

Sprawa dotyczyła zbierania podpisów na liście poparcia obywatelskiego projektu ustawy zgłaszanego przez Komitet Inicjatywy Ustawodawczej „Stop LGBT”.

Administrator umieszczał listy z podpisami w kościołach – w miejscach ogólnodostępnych np. na ołtarzach bocznych albo w miejscu z prasą katolicką. Zawierały one – poza samymi podpisami – także imię i nazwisko, PESEL oraz adres. W połączeniu z takimi informacjami jak nazwa komitetu i inicjatywa, były to dane pozwalające na identyfikację poglądów politycznych i przekonań światopoglądowych konkretnych osób.

Gromadzone przez komitet dane osobowe nie były w żaden sposób zabezpieczone. Każdy mógł bez większych przeszkód uzyskać do nich dostęp, wykonać zdjęcie liście a nawet wynieść ją z kościoła. Okoliczności te potwierdził w toku postępowania sam administrator, aczkolwiek podkreślił przy tym, że nie dopuścił się naruszenia przepisów RODO.

Prezes UODO był jednak odmiennego zdania. Jak ustalił w toku postępowania, komitet wprawdzie przeprowadził analizę ryzyka, ale nie zidentyfikował przy tym wszystkich możliwych zagrożeń. Uwzględnił bowiem możliwość nieuprawnionego:

• dostępu do pomieszczenia z danymi,

• skopiowania kart z podpisami,

• przeniesienia informacji zawierających dane osobowe.

W każdym przypadku ocenił ryzyko jako nieistotne. Pominął przy tym możliwość skopiowania lub sfotografowania listy, czy nawet wglądu w listę przez osobę postronną znającą osobę, która złożyła podpis na liście. Konsekwencją było niewdrożenie środków bezpieczeństwa danych i pozostawienie swobodnego dostępu osobom postronnym do list poparcia z danymi. Administrator ograniczył się jedynie do ustalenia nadzoru nad listami ze strony osób zbierających podpisów i kontrolowania zbiórki przez osoby zaufania publicznego. Środki te nie zostały jednak wdrożone.

Komitetowi w związku z powyższym zarzucono niezgłoszenie naruszenia ochrony danych do Prezesa UODO i niezawiadomienie o nim podmiotów danych. W ocenie organu nadzorczego ryzyko naruszenia praw i wolności osób fizycznych było w opisywanym przypadku wysokie, zwłaszcza z uwagi na pozostawienie bez nadzoru szerokiego zakresu danych osobowych, w tym szczególnej kategorii.

W uzasadnieniu decyzji Prezes UODO przedstawił praktyczne wskazówki, które mogą okazać się przydatne dla innych tego typu organizacji przetwarzających dane osobowe.

• decyzja Prezesa UODO z dnia 24 kwietnia 2024 r. DKN.5131.32.2022