Niezapewnienie bezpieczeństwa i poufności przetwarzanych danych osobowych przez administratora - decyzja Prezesa UODO

Na Dolnośląski Związek Piłki Nożnej nałożono administracyjną karę pieniężną z powodu niezapewnienia bezpieczeństwa i poufności danych osobowych. Prezes UODO uznał, że działania administratora były nieskuteczne, naruszając przepisy RODO. Publikacja nieautoryzowanych danych osobowych spowodowała wszczęcie postępowania administracyjnego.

Tematyka: Dolnośląski Związek Piłki Nożnej, DZPN, Prezes UODO, RODO, ochrona danych osobowych, naruszenie, kara pieniężna, decyzja, bezpieczeństwo danych, poufność danych

Na Dolnośląski Związek Piłki Nożnej (dalej jako: DZPN) została nałożona administracyjna kara pieniężna.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: Prezes UODO) administrator podjął
ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne a tym samym nie
dochował należytej staranności podejmując próbę usunięcia skutków naruszenia.
Stan faktyczny
W lipcu 2018 r. DZPN zgłosił Prezesowi UODO naruszenie ochrony danych osobowych polegające na
niezamierzonej publikacji danych osobowych osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie
imienia, nazwiska, numeru PESEL oraz adresu zamieszkania na stronie internetowej DZPN.
Prezes UODO ustalił, że powiadomienie osób, których dane dotyczą nie spełniało wymogów określonych w art. 34
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (Dz. Urz. UE L Nr 119 z 2016 r., s. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z 23.05.2018,
str. 2, dalej jako: RODO). Prezes UODO wystąpił do DZPN na podstawie art. 52 ust. 1 ustawy z 10.5.2018 r.
o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.; dalej jako: OchrDanychU) o podjęcie działań
mających na celu zawiadomienie osób, których dane dotyczą o naruszeniu ich danych, w tym przekazanie zaleceń
odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia oraz o wyeliminowaniu
podobnych nieprawidłowości w przyszłości.
W zgłoszeniu uzupełniającym DZPN wskazał, że powiadomił podmioty danych zgodnie z art. 34 RODO oraz podjął
działania mające na celu zabezpieczenie przetwarzanych danych, w tym dokonał stosownych zmian w procedurach
zarządzania stroną www.
Na podstawie skargi otrzymanej od podmiotu danych Prezes UODO dokonał czynności sprawdzających. W wyniku
tych czynności ustalono, że po wpisaniu w wyszukiwarce internetowej adresu strony internetowej nadal opublikowane
są dane osobowe łącznie 585 osób, w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania.
Wobec powyższego Prezes UODO zawiadomił DZPN o wszczęciu z urzędu postępowania administracyjnego
w sprawie niezapewnienia bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano
licencje sędziowskie.
Z uzasadnienia Prezesa UODO
DZPN jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie
internetowej, co wynika wprost z § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z 19.4.2012 r., Nr IV/74 (t.j.
Nr VI/90 z 13.5.2015 r.).
W związku z tym, że uchwała nie określa zakresu danych, które powinny podlegać publikacji powyższe należy ocenić
mając na uwadze zasadę minimalizacji danych, o której mowa w art. 5 ust.1 RODO. Prezes UODO stwierdził zatem,
że publikacja powinna obejmować wyłącznie dane w zakresie ich imion, nazwisk i miejsca zamieszkania.
Organ uznał, że DZPN jako administrator danych osób, którym przyznano licencje nie dopełnił ciążących na nim
obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, w zakresie ich
zabezpieczenia przed ich udostępnieniem nieokreślonej liczbie osób.
Prezes UODO decydując o nałożeniu administracyjnej kary pieniężnej oraz ustalając jej wysokość, zgodnie z art. 83
ust. 2 lit. a-k RODO wziął pod uwagę m.in. następujące okoliczności sprawy. DZPN nie dopełnił obowiązku
zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa
odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej. Zaznaczono przy tym, że
naruszenie miało charakter nieumyślny. Prezes UODO podkreślił jednocześnie, że już samo naruszenie poufności
danych może stanowić szkodę niemajątkową (krzywdę). Ponadto pomimo stwierdzonego naruszenia przepisów
RODO DZPN nie zastosował środków, które uniemożliwiałyby dostęp do danych w nadmiernym zakresi e.
Podjęte przez DZPN działania w celu usunięcia naruszenia nie można zdaniem Prezesa UODO zakwalifikować do
okoliczności łagodzących, gdyż działania te okazały się nieskuteczne.
Dodatkowo na wysokość kary wpływ miało ustalenie przez Prezesa UODO, że naruszenie nie dotyczyło
szczególnych kategorii danych, natomiast zestawienie danych, które umożliwiało identyfikację osoby (imię, nazwisko,

adres zamieszkania i numer PESEL), mogło stwarzać ryzyko naruszenia praw i wolności osób, których dane
dotyczyły.
Prezes UODO uznał przy tym, że w trakcie trwania postępowania DZPN współpracował z organem, w wyznaczonym
terminie DZPN przesłał wyjaśnienia i udzielił odpowiedzi na wystąpienie, co Prezes UODO uznał za pełny stopień
współpracy.
Ostatecznie w trakcie postępowania przed organem DZPN usunął stwierdzone naruszenie.
Przy ustalaniu wysokości kary Prezes UODO wziął pod uwagę także następujące czynniki łagodzące wymiar kary tj.
brak dowodów na osiągnięcie przez DZPN korzyści finansowych, działalność niezarobkową DZPN, uniknięcie strat
w związku z naruszeniem.
Okolicznością łagodzącą wskazaną przez Prezesa UODO było także brak dowodów na istnienie szkód u osób,
których dane zostały ujawnione.
Prezes UODO za najistotniejszą okoliczność uznał poważny charakter naruszenia, gdyż pomimo stwierdzonego
przez DZPN naruszenia nie zastosowano skutecznych środków, które uniemożliwiałyby dostęp do danych aż do
stycznia 2019 r. pomimo złożonego przez DZPN zapewnienia. DZPN nie dochował należytej staranności poprzez
zaniechanie sprawdzenia, czy faktycznie publikacja na stronie www została usunięta, nie podjął także
wystarczających działań prowadzących do trwałego usunięcia zawartości podstron. Czas trwania naruszenia Prezes
UODO ocenił negatywnie mając na uwadze moment jego zgłoszenia.
Prezes UODO nałożył na DZPN administracyjną karę pieniężną w wysokości 55 750,50 złotych.
Nałożenie kary administracyjnej, zdaniem Prezesa UODO, miało pełnić funkcję odstraszającą. Kara miała odstraszać
zarówno DZPN przed ponownym naruszeniem, jak i inne podmioty, w szczególności ze względu na to, że w decyzji
wyjaśniono, jakie czynności Prezes UODO nie uznaje za skuteczne celem ograniczenia skutków naruszenia.

Decyzja Prezesa UODO z 25.4.2019 r., ZSPR.440.43.2019

Prezes UODO nałożył na DZPN karę pieniężną w wysokości 55 750,50 złotych. Decyzja miała charakter odstraszający, aby zapobiec powtórnym naruszeniom oraz wskazać inne podmioty na konieczność stosowania skutecznych środków bezpieczeństwa danych osobowych.