Sankcja ta – choć niewielka – wynika z niewłaściwej reakcji stowarzyszenia na naruszenie ochrony danych osobowych, które miało miejsce podczas organizacji zawodów sportowych.
Ujawnienie nadmiarowych danych na Facebooku
Incydent miał miejsce, gdy nieprzeszkolony wolontariusz przypadkowo opublikował na portalu społecznościowym dane osobowe ponad stu uczestników zawodów sportowych. Chociaż w pierwotnym arkuszu kalkulacyjnym widoczne były jedynie podstawowe informacje, takie jak imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku ujawniały się także dodatkowe dane – adres e-mail oraz data urodzenia. Te informacje umożliwiały potencjalną identyfikację i kontakt z uczestnikami zawodów.
Brak odpowiedniej reakcji stowarzyszenia
Po otrzymaniu sygnału o incydencie od osoby trzeciej, Prezes UODO zwrócił się do administratora danych z prośbą o wyjaśnienia. Stowarzyszenie przyznało się do błędu, obarczając winą wolontariusza, który nie był odpowiednio przeszkolony. Jednakże, władze stowarzyszenia nie przeprowadziły wymaganej analizy ryzyka, która powinna była ocenić, czy naruszenie danych osobowych wymaga zgłoszenia do organu nadzorczego.
Procedura UODO i odpowiedź stowarzyszenia
Prezes UODO kilkakrotnie prosił stowarzyszenie o udzielenie szczegółowych informacji, jednak nie otrzymał odpowiedzi. W związku z tym, na podstawie zebranych dowodów, przyjął, że naruszenie mogło dotyczyć około stu osób. Stowarzyszenie nie zgłosiło incydentu do Prezesa UODO, co jest jednym z obowiązków administratora danych w przypadku takiego naruszenia.
Konsekwencje i wnioski
Prezes UODO podkreślił, że zgłoszenie naruszenia ochrony danych osobowych nie jest jedynie biurokratycznym wymogiem, ale istotnym narzędziem zapewniającym poprawę bezpieczeństwa przetwarzania danych. Stowarzyszenie „Maraton” miało poważny problem z zarządzaniem danymi osobowymi, co doprowadziło do ich nieumyślnego ujawnienia. Mimo że ryzyko związane z tym naruszeniem nie było wysokie, nie można go było zignorować.
Ta sytuacja ukazuje konieczność lepszego przeszkolenia wolontariuszy i pracowników stowarzyszenia w zakresie ochrony danych osobowych. Stowarzyszenie powinno również opracować bardziej rygorystyczne procedury dotyczące przetwarzania danych, aby uniknąć podobnych incydentów w przyszłości.
