Kara finansowa dla Stowarzyszenia Sportowego „Maraton” z Gorlic za naruszenie ochrony danych osobowych

6 miesięcy temu
Zdjęcie: urzad ochrony danych osobowych UODO


Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości 916,71 zł na stowarzyszenie sportowe „Maraton” z Gorlic (woj. podkarpackie) za brak adekwatnej reakcji na incydent związany z naruszeniem ochrony danych osobowych. Incydent miał miejsce w wyniku działań nieprzeszkolonego wolontariusza, który nieświadomie ujawnił na portalu społecznościowym nadmiarowe dane ponad stu uczestników zawodów sportowych.

Szczegóły incydentu

Stowarzyszenie „Maraton” organizowało zawody sportowe i na swojej stronie na Facebooku opublikowało listę uczestników. Chociaż zawodnicy wyrazili zgodę na przetwarzanie swoich danych, problem pojawił się w momencie publikacji listy. W widocznym wpisie zamieszczonym na portalu społecznościowym widniały jedynie imiona, nazwiska, płeć, klub oraz miejscowość uczestników. Jednakże po pobraniu pliku okazało się, iż w arkuszu kalkulacyjnym ukryte były dodatkowe informacje, takie jak adresy e-mail oraz daty urodzenia, które mogły umożliwić identyfikację i nawiązanie kontaktu z tymi osobami.

Reakcja UODO

Prezes UODO otrzymał sygnał o incydencie od osoby trzeciej i natychmiast poprosił administratora danych o wyjaśnienia. Stowarzyszenie przyznało, iż doszło do pomyłki, obwiniając wolontariusza pracującego przy zawodach. UODO podkreślił, iż istotne jest nie tyle wskazanie winnego, co adekwatna reakcja na skutki incydentu, które mogły naruszyć prywatność uczestników.

Brak adekwatnej reakcji

Pomimo kilkukrotnych próśb o udzielenie informacji, Stowarzyszenie nie dostarczyło odpowiednich wyjaśnień ani nie przeprowadziło oceny ryzyka wynikającego z ujawnienia danych osobowych. W związku z tym Prezes UODO wszczął postępowanie administracyjne. Na podstawie zgromadzonego materiału dowodowego ustalono, iż naruszenie dotyczyło około stu osób oraz iż Stowarzyszenie nie przeprowadziło analizy ryzyka ani nie zgłosiło incydentu do UODO, co jest obowiązkiem administratora danych.

Konsekwencje i wnioski

Prezes UODO zaznaczył, iż zgłoszenie naruszenia nie jest biurokratyczną procedurą, ale skutecznym narzędziem poprawy bezpieczeństwa przetwarzania danych osobowych. Incydent dowodzi, iż Stowarzyszenie „Maraton” miało poważne problemy z ochroną danych. Dane osobowe ponad stu osób zostały ujawnione, co stanowiło naruszenie ich prywatności.

Choć na listach zawodników nie było numerów PESEL, ujawnione informacje mogły pozwolić na identyfikację tych osób. Pomimo iż ryzyko nie było wysokie, nie można go ignorować. Stowarzyszenie, będąc administratorem danych, miało obowiązek zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO, co mogłoby pomóc w podjęciu odpowiednich działań.

Potrzeba poprawy procedur

Incydent wykazał potrzebę poprawy procedur obchodzenia się z danymi osobowymi w Stowarzyszeniu „Maraton”. Prezes UODO podkreślił, iż chociaż ta konkretna sytuacja nie wymagała powiadamiania osób, których dane zostały ujawnione, to stowarzyszenie powinno przeprowadzić odpowiednią analizę ryzyka i zgłosić naruszenie do UODO.

Nałożona kara finansowa ma na celu przypomnienie, iż ochrona danych osobowych jest kluczowym elementem działalności każdej organizacji, a naruszenie tych zasad może prowadzić do poważnych konsekwencji prawnych i finansowych.

Idź do oryginalnego materiału