Ważny wyrok! 23.000 zł kary dla fundacji za naruszenia RODO

Fundacja L. złożyła do urzędu wojewódzkiego wniosek o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia na terenie województw punktów nieodpłatnej pomocy prawnej, poradnictwa obywatelskiego i mediacji. Do wniosku został załączony dokument zawierający niezanonimizowane dane osobowe 29 dotychczasowych beneficjentów NPP oraz 4 współpracowników Fundacji. Były tam podane wprost m.in. imiona i nazwiska, numery PESEL, adresy zamieszkania i numery telefonów oraz informacje o sytuacji życiowej, prawnej i zdrowotnej beneficjentów.

Przepisy art. 11d ust. 2–8 ustawy z 5 sierpnia 2015 r. o nieodpłatnej pomocy prawnej, nieodpłatnym poradnictwie obywatelskim oraz edukacji prawnej (Dz.U. z 2024 r. poz. 1534 ze zm.), w brzmieniu obowiązującym w chwili wystąpienia incydentu, tj. w okresie sierpień – wrzesień 2022 roku, określały warunki, jakie muszą zostać łącznie spełnione przez podmiot ubiegający się o wpis na listę oraz jakie dokumenty należy przedłożyć. Są to „dokumenty potwierdzające spełnianie warunku, o którym mowa w ust. 2 pkt 1 lub ust. 3 pkt 1, lub ust. 4 pkt 1, w tym na żądanie wojewody, informację o sposobie i okresie, w którym wykonywała zadania wiążące się z udzielaniem porad prawnych, informacji prawnych, świadczeniem poradnictwa obywatelskiego lub nieodpłatnego poradnictwa lub prowadzeniem mediacji” oraz „listę adwokatów, radców prawnych, doradców podatkowych, osób, o których mowa w art. 11 ust. 3 pkt 2, lub doradców oraz mediatorów, o których mowa w art. 4a ust. 6, z którymi zawarła umowy o udzielanie nieodpłatnej pomocy prawnej, świadczenie nieodpłatnego poradnictwa obywatelskiego lub prowadzenie nieodpłatnej mediacji”. Te regulacje obowiązują w niezmienionym brzmieniu do dziś. Powołane przepisy nie kształtowały zatem po stronie Fundacji obowiązku ujawniania, w ramach procedury, w której brała udział, danych osobowych konkretnych beneficjentów świadczonych usług oraz danych osobowych jej współpracowników.

Urząd wojewódzki powiadomił UODO o możliwości wystąpienia incydentu bezpieczeństwa.

UODO uznał, że przekazanie tak szerokiego zakresu danych nie było wymagane przepisami ustawy o nieodpłatnej pomocy prawnej oraz miało charakter nadmiarowy. Co za tym idzie – doszło do naruszenia przepisów o ochronie danych osobowych poprzez nieuprawnione ujawnienie danych. Administrator tych danych (czyli Fundacja) nie dopełnił ponadto swoich podstawowych obowiązków związanych z naruszeniem:

• nie notyfikował tego faktu organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia (art. 33 ust. 1 RODO),
• nie zawiadomił bez zbędnej zwłoki osób, których ujawnione dane dotyczyły (art. 34 ust. 1 RODO).

Prezes UODO nie podzielił argumentacji Fundacji L., która wskazywała na mało prawdopodobne ryzyko naruszenia praw i wolności osób, gdyż ich dane trafiły wyłącznie do instytucji publicznej oraz w formie dokumentu papierowego. Osoby, których dane zostały przekazane organowi, co prawda zostały o tym poinformowane, ale dopiero po interwencji UODO. Oznacza to więc, że działanie notyfikacyjne administratora było spóźnione oraz niewystarczające. UODO wyjaśnił również, że ryzyko naruszenia praw lub wolności osób fizycznych występuje wówczas, gdy naruszenie ochrony danych może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Zaznaczyć należy, że zgodnie z treścią art. 33 ust. 1 rozporządzenia 2016/679, już samo wystąpienie naruszenia ochrony danych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych zobowiązuje administratora do powiadomienia organu nadzorczego o wystąpieniu naruszenia, niezależnie od zmaterializowania się jego konsekwencji.

Funkcję inspektora ochrony danych (IOD) pełnił w Fundacji członek jej zarządu, który następnie stał się prezesem zarządu, a jeszcze później zaczął wykonywać równolegle funkcję koordynatora projektów. UODO uznał, że taka praktyka jest sprzeczna z art. 38 ust. 6 RODO, ponieważ IOD może wykonywać swoje zadania i obowiązki jedynie w sytuacji gdy nie powoduje to konfliktu interesów.

Fundacja argumentowała, że łączenie funkcji prezesa z IOD jest dopuszczalne z uwagi na specyfikę działalności projektowej oraz fakt, że cele i sposoby przetwarzania danych są w dużej mierze narzucane administratorowi przez instytucje przyznające granty. UODO nie przyjął tych argumentów, wskazując, że IOD musi zachować niezależność organizacyjną, a osoba stojąca na czele organizacji nie może jednocześnie pod kątem legalności nadzorować samej siebie w zakresie przetwarzania danych osobowych.

Okazało się, że Fundacja naruszyła również art. 37 ust. 7 RODO w związku z przepisami ustawy o ochronie danych osobowych, ponieważ nie opublikowała danych kontaktowych IOD oraz nie zawiadomiła UODO o jego wyznaczeniu w wymaganym ustawowo terminie.

Na Fundację UODO nałożył administracyjną karę pieniężną w kwocie 22.900 zł. za naruszenie:

• art. 33 ust. 1 RODO (brak notyfikowania UODO faktu naruszenia ochrony danych w terminie 72 godzin),
• art. 37 ust. 7 RODO (brak prawidłowego opublikowania danych kontaktowych IOD oraz powiadomieni UODO o jego wyznaczeniu),
• art. 38 ust. 6 RODO (konflikt interesów w wyznaczeniu IOD).

Natomiast w kwestii naruszenia art. 34 ust. 1 RODO (brak zawiadomienia bez zbędnej zwłoki osób, których ujawnione dane dotyczyły) prezes UODO uznał, że wystarczające będzie udzielenie upomnienia.