Urząd Ochrony Danych Osobowych nałożył drugą karę na podstawie RODO. Jeden ze związków sportowych bezprawnie udostępniał na swej stronie internetowej szczegółowe dane sędziów, w tym ich adres i PESEL. Kara w wysokości niespełna 56 tys. zł to przede wszystkim jednak wynik tego, że choć związek wiedział o naruszeniu, to przez pół roku nie naprawił swego błędu.

O naruszeniu ochrony danych poinformował prezesa UODO sam związek w lipcu 2018 r. Nie krył tego, że wskutek niezamierzonego działania, na jego stronie internetowej pojawiły się dane 585 osób, którym przyznano licencje sędziowskie. Poza imionami i nazwiskami także takie, których nie było wolno udostępniać – dokładne adresy zamieszkania i numery PESEL. Związek sam też powiadomił o swym błędzie wszystkich zainteresowanych. Równocześnie nakazał informatykom usunięcie danych ze strony, po czym poinformował UODO, że problem został rozwiązany.

Uwaga! Od maja kolejne zmiany w RODO – sprawdź jak przygotować się do kontroli przestrzegania przepisów >>

Niestety w styczniu 2019 r. okazało się, że dane osobowe sędziów wciąż są dostępne. Potwierdził to UODO, do którego wpłynęła skarga w tej sprawie. Okazało się, że wystarczy wpisać w wyszukiwarce adres url strony internetowej i nadal wyświetlały się szczegółowe informacje na temat sędziów. Te, które zgodnie z zapewnieniem związku, miały być usunięte ze strony.

Właśnie ta nieskuteczność działań podjętych przez związek zdecydowała o nałożeniu kary finansowej.

„Pomimo stwierdzonego naruszenia przepisów (…) nie zastosował on środków, które uniemożliwiałyby dostęp do danych 585 osób, którym przyznano licencje sędziowskie w 2015 r., w zakresie numeru PESEL oraz adresu zamieszkania, co skutkowało dalszym udostępnianiem tych danych nieokreślonej liczbie osób, tym samym podjął ograniczone działania, które nie przyczyniły się do wyeliminowania potencjalnych szkód. (…) - można przeczytać w treści decyzji UODO.

Związek tłumaczył, że zawierzył firmie zewnętrznej, która administruje jego stroną internetową. Zdaniem UODO nie zdejmuje to jednak z niego odpowiedzialności.

„Wpływu na rozstrzygnięcie organu nadzorczego co do odpowiedzialności administratora za nieskuteczne działania nie mogą mieć okoliczności, że to nie on podejmował te działania, a firma zewnętrzna. Z. jako administrator tych danych został bezpośrednio zobowiązany przepisami rozporządzenia 2016/679, do zabezpieczenia przetwarzanych danych przed ich udostępnieniem osobom nieuprawnionym” - podkreślono w decyzji.

Wpływ na złagodzenie kary miała dobra współpraca związku w trakcie trwania postępowania, brak dowodów na osiągnięcie korzyści finansowych w związku z tym naruszeniem, a także to, że nie wykazano szkody po stronie osób, których dane ujawniono.
Samo naruszenie uznano za poważne. Uwzględniono również czas jego trwania, a także to, że dotyczyło stosunkowo szerokiego kręgu osób.