Kolejna kara z RODO

Prezes UODO nałożyła kolejną karę administracyjną, tym razem wskutek zawiadomienia administratora, który dopuścił się naruszenia przepisów. Kara wynosi 55 750,50 zł, co stanowi równowartość 13 000 euro.

Kara została nałożona na związek sportowy, który w latach 2015-2018 udostępniał na swojej stronie internetowej zbyt szeroki zakres danych sędziów, którym przyznano licencje sędziowskie. W Internecie były bowiem dostępne takie dane jak imię, nazwisko, adres zamieszkania oraz numery PESEL.

Co wydarzyło się w tej sprawie?

Związek sportowy, jako administrator danych, zgłosił do UODO fakt naruszenia przez siebie obowiązków wynikających z RODO. Wskazał również, że podjął działania mające na celu usunięcie skutków naruszenia, w tym poinformował osoby, których naruszenie dotyczyło.

Dodatkowo zgłosił do firmy informatycznej, z którą współpracował konieczność usunięcia nadmiaru danych ze strony internetowej. Jednocześnie zawiadomił UODO o tym, że naruszenie zostało usunięte.

Niestety okazało się, że firma odpowiedzialna za świadczenie usług IT nieprawidłowo usunęła dane sędziów i nadal były one dostępne w Internecie. W konsekwencji do UODO wpłynęła skarga od osoby, której dane dotyczą. Okazało się, że informatycy niedokładnie usunęli dane i po wpisaniu w wyszukiwarkę internetową danych sędziego nadal możliwy był dostęp do pełnego zestawu danych.

Związek sportowy został o tym poinformowany i ponownie nakazał firmie IT usunąć dane – tym razem zrobili to jak należy.

Niemniej kara została nałożona. W decyzji przeczytać można, że administrator „nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku udostępnienia” a także, że „naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób”.

Pisałam już o tym, że przy nakładaniu kary UODO bierze pod uwagę również okoliczności łagodzące [zobacz]. W tym przypadku zwrócono uwagę, że związek sportowy dobrze współpracował z organem nadzorczym, nie osiągnął w związku z naruszeniem korzyści finansowych, a także nie ma dowodów na to, że osoby, których dane ujawniono poniosły w związku z tym szkody. Dodatkowo, w konsekwencji postępowania usunięto naruszenie.

Niestety w decyzji mocno wybrzmiewa również to, że za podmioty współpracujące z administratorami odpowiedzialność ponoszą oni sami. Według Prezesa UODO wpływu na decyzję co do odpowiedzialności administratora nie mogą mieć okoliczności, że to nie od podejmował działania a firma zewnętrzna.

Z tej decyzji wynika jasno, jak ważne jest zapewnienie bezpieczeństwa teleinformatycznego przy stosowaniu RODO i odpowiednie dobieranie swoich kontrahentów. W umowie z takim podmiotem konieczne jest określenie jego odpowiedzialności, a także kar umownych. Polecam zatem korzystanie z usług profesjonalistów w zakresie opracowania zabezpieczających administratorów umów.