Kolejna kara za naruszenie RODO została nałożona przez Urząd Ochrony Danych Osobowych. Tym razem odpowiedzialności finansowej nie uniknie Dolnośląski Związek Piłki Nożnej we Wrocławiu. 25 kwietnia 2019 r. wydana została decyzja ZSPR.440.43.2019 nakładająca na Związek Piłkarski karę w wysokości 55 750,50 złotych, co stanowi równowartość 13.000 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.
Za co ta kara?
W lipcu 2018 r. Dolnośląski Związek Piłki Nożnej z siedzibą we Wrocławiu zgłosił Prezesowi Urzędu Ochrony Danych Osobowych naruszenie ochrony danych osobowych polegające na niezamierzonej publikacji danych osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania na stronie internetowej Dolnośląskiego Związku Piłki Nożnej.
W zgłoszeniu DZPN wskazał, że okres naruszenia trwał od października 2015 r. do lipca 2018 r. Przyczyną naruszenia były wewnętrzne działania niezamierzone. Ponadto, DZPN poinformował organ nadzorczy o zakończeniu procesu powiadamiania osób, których dane dotyczą, o naruszeniu ich danych oraz o usunięciu tego naruszenia.
Z uwagi na to, że powiadomienie osób, których dane dotyczą, nie spełniało wymogów określonych w art. 34 RODO w sierpniu 2018 r. Prezes Urzędu Ochrony Danych Osobowych wystąpił do DZPN na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, o podjęcie działań mających na celu zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych, w tym przekazanie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia oraz o wyeliminowaniu podobnych nieprawidłowości w przyszłości.
W odpowiedzi DZPN wskazał, że powiadomił osoby zgodnie z art. 34 rozporządzenia 2016/679 oraz podjął działania mające na celu zabezpieczenie przetwarzanych danych, w tym dokonał stosownych zmian w procedurach zarządzania stroną www (m. in. ustalił procedurę wprowadzania danych na stronę poprzez poddanie szczególnemu rygorowi i kontroli ze strony Administratora Danych Osobowych i Inspektora Ochrony Danych), objął programem szkoleniowym osoby odpowiedzialne za przetwarzanie danych oraz umieścił na stronie internetowej informacje o wyznaczeniu Inspektora Ochrony Danych wraz z podaniem kontaktu do Inspektora. Jako datę zakończenia naruszenia, ponownie wskazano lipiec 2018 r.
Dlaczego więc kara ?
W styczniu 2019 r., DZPN otrzymał telefoniczną informację, iż pomimo usunięcia przedmiotowych danych ze strony internetowej DZPN, są one dostępne w wyszukiwarce a plik z danymi wyświetla się w Internecie.
DZPN dokonał dodatkowej analizy strony oraz zwrócił się do firmy informatycznej, która sprawuje nadzór nad tą stroną. Firma poinformowała, że dostęp do treści strony (zawierającej dane osób, którym przyznano licencje sędziowskie w roku 2015 w zakresie adresu zamieszkania i numeru PESEL) jest możliwy po wpisaniu w wyszukiwarce internetowej adresu url lub po podejrzeniu treści serwera DZPN. Po wszczęciu postępowania DZPN usunął ze swojej strony internetowej dane osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. W związku z tym po wpisaniu w wyszukiwarce internetowej adresu url strony, na której znajdowały się dane osób, którym przyznano licencje sędziowskie w roku 2015 w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL, w wynikach wyszukiwania nie wyświetla się już strona zawierająca te dane.
Naruszone przepisy RODO
Art. 5 RODO określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Art. 32 ust. 1 lit. b RODO wskazuje, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. W myśl art. 32 ust. 2 administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przepis art. 32 stanowi również konkretyzację wskazanej w art. 5 ust. 1 lit. f RODO
Zgodnie z art. 6 ust. 1 lit. f przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
DZPN jest zobowiązany do prowadzenia ewidencji przyznanych licencji i ich publikacji na stronie internetowej, co wynika wprost z § 13 uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia 19 kwietnia 2012 r., nr IV/74, w sprawie licencji dla sędziów piłkarskich (nr VI/90, z dnia 13.05.2015 r., tekst jednolity). Co prawda w uchwale tej nie jest wymieniony zakres danych. Niemniej jednak zatem odnieść się do zasady minimalizacji danych z art. 5 ust. 1 lit. c RODO. Zgodnie z powołanym przepisem dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
Zatem przetwarzanie danych osób, którym przyznano licencje sędziowskie w 2015 r., na stronie internetowej DZPN, powinno odbywać się zgodnie z uwzględnieniem ww. zasady minimalizacji danych w celu spełniającym obowiązek wynikający z § 13 uchwały.
W ocenie Prezesa, o ile udostępnienie na stronie internetowej DZPN danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015 w zakresie ich imion, nazwisk i miejscowości zamieszkania jest prawnie uzasadnione celem wynikającym z ww. uchwały, o tyle udostępnienie adresu zamieszkania i numeru PESEL wykracza poza ten cel. Nie jest bowiem konieczne publikowanie tak szczegółowych danych osobowych sędziów. Ponadto DZPN zgłaszając Prezesowi UODO naruszenie w lipcu 2018 r. miał świadomość, że zakres danych jaki został udostępniony na jego stronie internetowej jest nieprawidłowy jednak w ocenie organu nadzorczego nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa w procesie przetwarzania tych danych, przez co dane te były dostępne na stronie internetowej również po zgłoszeniu naruszenia. Co prawda DZPN zlecił podmiotowi zewnętrznemu usunięcie naruszenia i nie zweryfikował efektów podjętych działań, a dostęp online do danych osobowych był nadal możliwy.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
