Prezes UODO nałożył karę administracyjną w wysokości 7 700 zł na Burmistrza Miasta i Gminy Myślenice za naruszenie RODO związane z publikacją niezanonimizowanej petycji w Biuletynie Informacji Publicznej.
Choć sama wysokość sankcji może wydawać się relatywnie niewielka, znaczenie tej decyzji jest znacznie szersze niż wymiar finansowy. To kolejny wyraźny sygnał ze strony organu nadzorczego, że nawet „pozornie incydentalne” błędy organizacyjne mogą prowadzić do odpowiedzialności administracyjnej — szczególnie wtedy, gdy administrator błędnie oceni obowiązki wynikające z RODO po wystąpieniu incydentu.
Sprawa dotyczyła ujawnienia danych osobowych 749 osób popierających petycję. Opublikowany dokument zawierał m.in.:
• imiona i nazwiska,
• adresy zamieszkania,
• wzory podpisów.
Plik pozostawał publicznie dostępny przez kilkanaście dni.
Administrator argumentował, że doszło do niezamierzonego błędu, który został następnie skorygowany poprzez podmianę pliku. Podnosił również, że pracownikom nie można przypisać działania celowego czy świadomego naruszenia prawa.
Jednak z perspektywy RODO okoliczność „braku zamiaru” ma znaczenie ograniczone.
RODO opiera się bowiem na zasadzie rozliczalności (accountability), zgodnie z którą administrator musi być w stanie wykazać, że wdrożył skuteczne środki organizacyjne i techniczne zapewniające zgodność przetwarzania z przepisami. Organ nadzorczy bada więc nie tylko sam incydent, ale również jakość procesów bezpieczeństwa funkcjonujących u administratora.
Kluczowym elementem tej sprawy okazał się jednak nie tylko sam fakt ujawnienia danych, ale również brak zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.
Administrator uznał, że incydent nie wymaga notyfikacji do organu nadzorczego. Prezes UODO zajął jednak odmienne stanowisko i przypomniał bardzo ważną zasadę interpretacyjną: wyjątek zwalniający z obowiązku zgłoszenia naruszenia należy interpretować wąsko.
Innymi słowy — brak obowiązku zgłoszenia istnieje wyłącznie wtedy, gdy administrator jest w stanie wykazać, że ryzyko naruszenia praw lub wolności osób fizycznych jest praktycznie nieistniejące.
W tej sprawie trudno było mówić o „braku ryzyka”, skoro publicznie udostępniono:
• dane identyfikacyjne,
• adresy zamieszkania,
• wzory podpisów,
• dane dużej grupy osób,
• w publicznie dostępnej przestrzeni internetowej.
To bardzo ważny sygnał dla praktyki compliance.
W wielu organizacjach nadal funkcjonuje błędne przekonanie, że skoro incydent został szybko usunięty albo był wynikiem omyłki, to zgłoszenie do Prezesa UODO nie jest konieczne. Tymczasem obowiązek notyfikacji zależy przede wszystkim od oceny ryzyka dla osób, których dane dotyczą — a nie od intencji administratora czy czasu reakcji.
Co istotne, Prezes UODO wskazał również, że administrator — mimo wezwania organu nadzorczego — nie zmienił swojego stanowiska w zakresie obowiązku zgłoszenia naruszenia. Do momentu wydania decyzji incydent nadal nie został formalnie zgłoszony.
W praktyce to właśnie ten element mógł mieć istotny wpływ na decyzję o nałożeniu administracyjnej kary pieniężnej.
Decyzja pokazuje również rosnące znaczenie dokumentowania procesu oceny ryzyka po incydencie. Samo przeprowadzenie analizy nie wystarcza. Administrator musi być w stanie wykazać:
• jakie okoliczności zostały ocenione,
• jakie ryzyka zidentyfikowano,
• dlaczego podjęto decyzję o zgłoszeniu albo o jego braku,
• jakie działania naprawcze wdrożono.
To właśnie praktyczny wymiar zasady rozliczalności.
Warto zwrócić uwagę, że Prezes UODO podkreślił również szczególną rolę podmiotów publicznych. Organ wskazał, że jednostki samorządu terytorialnego — jako podmioty wykonujące zadania publiczne — powinny odznaczać się podwyższonym standardem znajomości i stosowania prawa.
W praktyce oznacza to, że sektor publiczny nie może tłumaczyć naruszeń wyłącznie „błędem ludzkim”. Organ oczekuje istnienia procedur, mechanizmów kontroli publikacji dokumentów oraz skutecznych procesów minimalizujących ryzyko ujawnienia danych.
Kwota 7 700 zł nie jest w tej sprawie najważniejsza. Znacznie istotniejsze jest stanowisko Prezesa UODO, zgodnie z którym:
• przypadkowa publikacja danych nadal pozostaje naruszeniem RODO,
• brak zgłoszenia naruszenia może stanowić odrębne naruszenie przepisów,
• administrator ma obowiązek aktywnie wykazywać prawidłowość swojej analizy ryzyka,
• podmioty publiczne podlegają szczególnie wysokim standardom zgodności.
To kolejna decyzja pokazująca, że współczesny compliance w obszarze ochrony danych osobowych nie kończy się na usunięciu błędnie opublikowanego pliku. Decydujące znaczenie ma dziś sposób zarządzania incydentem, udokumentowanie procesu decyzyjnego oraz zdolność administratora do wykazania zgodności z zasadą rozliczalności.