Prawie 11 tys. zł kary musi zapłacić Komitet Inicjatywy Ustawodawczej „Stop LGBT” za niezapewnienie bezpieczeństwa danych osobowych przetwarzanych w związku ze zbiórką podpisów w kościołach. Poznaj kulisy najnowszej kary UODO.
Sprawa dotyczyła zbierania podpisów na liście poparcia obywatelskiego projektu ustawy zgłaszanego przez Komitet Inicjatywy Ustawodawczej „Stop LGBT”.
Komitet inicjatywy ustawodawczej jest administratorem danych osób składających podpisy na listach poparcia.
Administrator umieszczał listy z podpisami w kościołach – w miejscach ogólnodostępnych np. na ołtarzach bocznych albo w miejscu z prasą katolicką. Zawierały one – poza samymi podpisami – także imię i nazwisko, PESEL oraz adres. W połączeniu z takimi informacjami jak nazwa komitetu i inicjatywa, były to dane pozwalające na identyfikację poglądów politycznych i przekonań światopoglądowych konkretnych osób.
Dane osobowe o poglądach politycznych i przekonaniach światopoglądowych mają status danych szczególnej kategorii (wrażliwych), a do ich przetwarzania konieczne jest spełnienie jednej z przesłanek z art. 9 ust. 2 RODO.
Gromadzone przez komitet dane osobowe nie były w żaden sposób zabezpieczone. Każdy mógł bez większych przeszkód uzyskać do nich dostęp, wykonać zdjęcie liście a nawet wynieść ją z kościoła. Okoliczności te potwierdził w toku postępowania sam administrator, aczkolwiek podkreślił przy tym, że nie dopuścił się naruszenia przepisów RODO.
Prezes UODO był jednak odmiennego zdania. Jak ustalił w toku postępowania, komitet wprawdzie przeprowadził analizę ryzyka, ale nie zidentyfikował przy tym wszystkich możliwych zagrożeń. Uwzględnił bowiem możliwość nieuprawnionego:
dostępu do pomieszczenia z danymi,
skopiowania kart z podpisami,
przeniesienia informacji zawierających dane osobowe.
W każdym przypadku ocenił ryzyko jako nieistotne. Pominął przy tym możliwość skopiowania lub sfotografowania listy, czy nawet wglądu w listę przez osobę postronną znającą osobę, która złożyła podpis na liście. Konsekwencją było niewdrożenie środków bezpieczeństwa danych i pozostawienie swobodnego dostępu osobom postronnym do list poparcia z danymi. Administrator ograniczył się jedynie do ustalenia nadzoru nad listami ze strony osób zbierających podpisów i kontrolowania zbiórki przez osoby zaufania publicznego. Środki te nie zostały jednak wdrożone.
Nie pomogły tu argumenty administratora wskazujące na spontaniczność inicjatywy. Okoliczność ta nie zwalnia komitetu inicjatywy ustawodawczej z obowiązków wynikających z RODO.
Komitetowi w związku z powyższym zarzucono niezgłoszenie naruszenia ochrony danych do Prezesa UODO i niezawiadomienie o nim podmiotów danych. W ocenie organu nadzorczego ryzyko naruszenia praw i wolności osób fizycznych było w opisywanym przypadku wysokie, zwłaszcza z uwagi na pozostawienie bez nadzoru szerokiego zakresu danych osobowych, w tym szczególnej kategorii.
To wszystko złożyło się na karę UODO w kwocie 10 913 zł.
W uzasadnieniu decyzji Prezes UODO przedstawił praktyczne wskazówki, które mogą okazać się przydatne dla innych tego typu organizacji przetwarzających dane osobowe.
Najlepiej zabezpieczyć dane osobowe na listach poparciach:
zakrywając części list, na których są już dane osobowe (także przed kolejnymi osobami, które będą składały podpisy na liście),
zapewniając faktyczny nieprzerwany nadzór nad listami.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
