Listy z podpisami były pozostawione niezabezpieczone w kościele, co narusza przepisy RODO.
Zgodnie z informacjami, które wpłynęły do UODO, listy poparcia były dostępne publicznie, leżąc na ołtarzach bocznych i na stoliku z prasą katolicką pod chórem w jednym z kościołów. „Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła. A tam są dane wrażliwe, bo przecież ujawniają także konkretny światopogląd i wyznanie” – stwierdzono w zgłoszeniu.
Administrator komitetu potwierdził, że opisana sytuacja miała miejsce, ale twierdził, że nie doszło do naruszenia przepisów RODO. Postępowanie przeprowadzone przez Prezesa UODO wykazało jednak liczne naruszenia, w tym brak odpowiednich zabezpieczeń danych osobowych.
Administrator komitetu przeprowadził analizę ryzyka, ale nieprawidłowo, nie identyfikując wszystkich możliwych zagrożeń i oceniając zidentyfikowane ryzyka jako „nieistotne”. Skupiono się jedynie na ryzyku utraty lub zniszczenia list, nie biorąc pod uwagę praw osób, których dane dotyczą. „Administrator analizował tylko ryzyko utraty lub zniszczenia list. A więc badał sprawę ze swojego punktu widzenia. Nie wziął pod uwagę praw osób, których dane dotyczą” – podkreślono w raporcie UODO.
Efektem błędnej analizy ryzyka był brak nadzoru nad listami poparcia, co umożliwiało osobom postronnym swobodny dostęp do danych osobowych. „Administrator założył, że przy niskim ryzyku wystarczy, że karty z podpisami będą stale pod nadzorem ‘osób zbierających podpisy’. Zbiórka miała być też kontrolowana przez osoby zaufania publicznego. Jednak, jak wynika z przedstawionej dokumentacji, zasad tych administrator nie wdrożył” – wykazało postępowanie UODO.
W decyzji UODO wskazano, jak prawidłowo zabezpieczać dane osobowe podczas zbierania podpisów. Osoby zbierające podpisy muszą dbać o odpowiednie zabezpieczenie danych, w tym stały nadzór nad zebranymi już danymi oraz chronienie ich przed innymi osobami składającymi podpisy. „Niedopuszczalne jest pozostawienie takich list bez nadzoru” – podkreślono w raporcie.
Administrator nie zgłosił naruszenia ochrony danych osobowych do UODO, co również było błędem. W przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek zawiadomić o zdarzeniu osoby, których dane dotyczą, wyjaśnić konsekwencje tego zdarzenia oraz wskazać środki bezpieczeństwa, które mogą samodzielnie wdrożyć.
Decyzja UODO
Decyzja UODO nakazuje teraz komitetowi wypełnienie obowiązków związanych z ochroną danych osobowych. Nakładając karę, Prezes UODO wysłał wyraźny sygnał o konieczności ścisłego przestrzegania przepisów RODO, zwłaszcza w kontekście zbierania i przechowywania danych wrażliwych.
Przypadek Komitetu Inicjatywy Ustawodawczej „Stop LGBT” podkreśla znaczenie odpowiedniego zabezpieczania danych osobowych i przeprowadzania rzetelnej analizy ryzyka. Naruszenia przepisów RODO mogą prowadzić do poważnych konsekwencji, zarówno finansowych, jak i prawnych, a ochrona danych osobowych powinna być priorytetem dla wszystkich organizacji.
