Prezes UODO nałożył kary na Fundację Lumus za nieuprawnione ujawnienie danych osobowych beneficjentów i współpracowników, brak notyfikacji naruszenia RODO oraz konflikt interesów IOD. Sprawa podkreśla systemowe problemy w organizacjach pozarządowych – jak uniknąć podobnych błędów jako administrator danych?
Administracyjna kara pieniężna na fundacje została nałożona w wyniku stwierdzenia szeregu naruszeń przepisów o ochronie danych osobowych. Prezes UODO uznał również, że charakter ustalonych naruszeń wskazuje na szerszy - systemowy charakter problemów organizacji pozarządowych, z którymi spotykają się w obszarze przestrzegania przepisów o ochronie danych osobowych osób fizycznych.
W omawianej sprawie Prezes UODO wszczął postępowanie administracyjne z urzędu poprzedzone wpłynięciem do organu nadzorczego sygnałów świadczących o nieprawidłowościach dokonanych przez administratora w zakresie przetwarzania danych osobowych. Informacje na ten temat dotarły do Prezesa UODO od terenowych organów administracji rządowej, które otrzymały od administratora dokumenty zawierające niezanonimizowane dane osobowe beneficjentów korzystających z nieodpłatnej pomocy prawnej oraz dane osobowe współpracowników Fundacji. Dokumenty zostały załączone do wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej i poradnictwa. W toku omawianego postępowania Prezes UODO ustalił, że przekazanie tak szerokiego zakresu danych osobowych nie było wymagane przepisami ustawy o nieodpłatnej pomocy prawnej oraz miało charakter nadmiarowy.
Prezes UODO ustalił, że na skutek zachowania administratora doszło do naruszenia przepisów ochrony danych osobowych polegającego na nieuprawnionym ujawnieniu danych 29 osób fizycznych, w tym 25 beneficjentów pomocy prawnej oraz czterech współpracowników Fundacji. Zakres przedmiotowy ujawnionych danych obejmował m.in. imiona i nazwiska, numery PESEL, adresy zamieszkania, numery telefonów, jak również informacje dot. sytuacji życiowej, prawnej i zdrowotnej beneficjentów.
Organ nadzorczy podkreślił, że charakter naruszenia ochrony danych osobowych – przede wszystkim ich szczególne kategorie oraz kontekst, w którym były przetwarzane – skutkował ryzykiem naruszenia praw i wolności osób fizycznych, których dane dotyczyły.
W omawianej sprawie Prezes UODO stwierdził, że administrator nie dopełnił swoich podstawowych obowiązków po stwierdzeniu naruszenia ochrony danych osobowych ponieważ:
Administrator wyjaśniał, że według niego ryzyko dla praw i wolności osób było mało prawdopodobne, ponieważ dane trafiły do instytucji publicznych, w formie dokumentu papierowego – co zdaniem administratora – było przesłanką braku ryzyka ich dalszego nieuprawnionego udostępniania. Prezes UODO nie zgodził się z tą argumentacją, wskazując, że już samo ujawnienie danych podmiotom nieuprawnionym, a zwłaszcza danych szczególnej kategorii, wywołuje ryzyko, które obliguje administratora do podjęcia konkretnej reakcji wskazanej w przepisach RODO.
Organ nadzorczy gruntownie przeanalizował stanowisko Fundacji w zakresie standardów oceny skutków naruszenia dla ochrony danych. Zdaniem Prezesa UODO należy wziąć pod uwagę na wytyczne Europejskiej Rady Ochrony Danych oraz orzecznictwo sądów administracyjnych, z których wynika, że niezmaterializowanie się potencjalnej szkody nie zwalnia administratora z obowiązków notyfikacyjnych.
W ocenie Prezesa UODO Fundacja dokonała subiektywnej oceny ryzyka i skupiła się na własnej perspektywie organizacyjnej, a nie na obiektywnej analizie skutków potencjalnego naruszenia ochrony danych dla osób, których one dotyczyły. Dopiero na skutek skierowanych do niej wystąpień Prezesa UODO Fundacja zawiadomiła osoby, których dane dotyczyły, o stwierdzonym naruszeniu – najpierw poinformowała współpracowników Fundacji, a następnie beneficjentów pomocy prawnej. Organ nadzorczy stwierdził, że działanie podjęte przez Administratora było spóźnione i niewystarczające w kontekście obowiązku zawiadomienia bez zbędnej zwłoki o naruszeniu osoby, których dane dotyczą.
Przeczytaj również:
18 dobrych praktyk na sporządzenie analiza ryzyka - najnowsze wskazówki UODO
Kolejnym aspektem omawianej sprawy była kwestia usytuowania inspektora ochrony danych w strukturach organizacyjnych Fundacji. Prezes UODO ustalił, że funkcję inspektora ochrony danych sprawował członek zarządu, który następnie stał się prezesem zarządu – co zostało przez organ nadzorczy rozpoznane jako sprzeczne z art. 38 ust. 6 RODO, ponieważ inspektor ochrony danych może wykonywać inne zadania i obowiązki, jedynie w sytuacji, gdy administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Przeczytaj również:
Kiedy dochodzi do konfliktu interesów inspektora ochrony danych (IOD) - 6 przypadków
W toku postępowania Fundacja przedłożyła Prezesowi UODO własną analizę konfliktu interesów, w której wskazała, że jej zdaniem łączenie funkcji prezesa oraz inspektora danych osobowych jest dopuszczalne ze względu na specyfikę działalności projektowej oraz fakt, że cele i sposoby przetwarzania danych są w dużej mierze narzucane administratorowi przez instytucje przyznające granty.
Prezes UODO nie zgodził się z tą argumentację – uznał ją za błędną oraz opartą na nieprawidłowej wykładni przepisów.
Inspektor ochrony danych musi zachować niezależność organizacyjną, a osoba stojąca na czele organizacji m.in. nie może jednocześnie pod kątem legalności nadzorować samej siebie w zakresie przetwarzania danych osobowych. Intencją prawodawcy było bowiem zapewnienie, żeby inspektor ochrony danych pełnił w sposób niezależny rolę gwaranta właściwie i efektywnie zapewniającego zgodność przetwarzania danych z przepisami.
Organ nadzorczy krytycznie odniósł się również do faktu, że analiza konfliktu interesów została zatwierdzona przez osobę, której ona bezpośrednio dotyczyła, co w ocenie Prezesa Urzędu stanowiło o przykładzie braku niezależności i potwierdzało istnienie konfliktu interesów. Co więcej, według organu nadzorczego, Fundacja naruszyła art. 37 ust. 7 RODO w związku z przepisami ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych na skutek nieopublikowania danych kontaktowych inspektora ochrony danych oraz niezawiadomienia UODO o jego wyznaczeniu w ustawowym terminie 14 dni.
Zawiadomienia te zostały skutecznie przekazane dopiero w sierpniu 2025 r. - po interwencjach Prezesa UODO w tej sprawie. W toku postępowania administracyjnego Fundacja dokonała zmian organizacyjnych - odwołując niewłaściwie usytuowanego w jej strukturach inspektora danych osobowych i powołując na to stanowisko osobę z zewnątrz. Organ nadzorczy zaś odnotował te działania jako okoliczność istotną, jednak nie uznał ich za wystarczającą do odstąpienia od nałożenia kar administracyjnych, zaznaczając, że działania te miały charakter reaktywny i zostały podjęte dopiero w toku już prowadzonego postępowania.
W omawianej sprawie Prezes UODO nałożył na Fundację Lumus administracyjne kary pieniężne w łącznej wysokości 22 920 zł za naruszenie art. 33 ust. 1 RODO, art. 37 ust. 7 RODO oraz art. 38 ust. 6 RODO. Dodatkowo Prezes UODO udzielił Fundacji upomnienia za naruszenie art. 34 ust. 1 RODO oraz uzasadnił zastosowany wymiar kar poprzez wskazanie, że ich łączna wysokość stanowi niewielki procent rocznego obrotu Fundacji oraz wyraźnie odbiega od maksymalnych kar przewidzianych w RODO, przy czym jednocześnie spełnia funkcję represyjną i prewencyjną.
Prezes UODO podkreśla, iż organizacje pozarządowe realizujące zadania publiczne - zwłaszcza w obszarach wrażliwych - podlegają takim samym rygorom ochrony danych osobowych jak inne podmioty, które podlegają reżimowi RODO. Misja publiczna ani finansowanie ze środków publicznych nie zwalniają z obowiązku przestrzegania przepisów o ochronie danych osobowych. Decyzja ta stanowi również głos w dyskusji o łączeniu funkcji inspektora ochrony danych z funkcjami kierowniczymi w organizacjach. Nawet w podmiotach o takiej strukturze jak fundacja zasada niezależności IOD nie może być relatywizowana lub bagatelizowana.
Źródło: UODO, DKN.5131.15.2025
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
