Kary dla Fundacji Lumus za naruszenia przepisów o przetwarzaniu danych osobowych

Prezes UODO Mirosław Wróblewski nałożył administracyjne kary pieniężne na Fundację Lumus po stwierdzeniu dokonania szeregu naruszeń przepisów o ochronie danych osobowych. Prezes UODO stwierdził również, że charakter ustalonych naruszeń wskazuje na szerszy - systemowy charakter problemów organizacji pozarządowych, z którymi spotykają się w obszarze przestrzegania przepisów o ochronie danych osobowych osób fizycznych.

W omawianej sprawie Prezes UODO wszczął postępowanie administracyjne z urzędu poprzedzone wpłynięciem do organu nadzorczego sygnałów świadczących o nieprawidłowościach dokonanych przez administratora w zakresie przetwarzania danych osobowych. Informacje na ten temat dotarły do Prezesa UODO od terenowych organów administracji rządowej, które otrzymały od administratora dokumenty zawierające niezanonimizowane dane osobowe beneficjentów korzystających z nieodpłatnej pomocy prawnej oraz dane osobowe współpracowników Fundacji. Dokumenty zostały załączone do wniosków o wpis na listę organizacji pozarządowych uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej i poradnictwa. W toku omawianego postępowania Prezes UODO ustalił, że przekazanie tak szerokiego zakresu danych osobowych nie było wymagane przepisami ustawy o nieodpłatnej pomocy prawnej oraz miało charakter nadmiarowy.

Prezes UODO ustalił, że na skutek zachowania administratora doszło do naruszenia przepisów ochrony danych osobowych polegającego na nieuprawnionym ujawnieniu danych 29 osób fizycznych, w tym 25 beneficjentów pomocy prawnej oraz czterech współpracowników Fundacji. Zakres przedmiotowy ujawnionych danych obejmował m.in. imiona i nazwiska, numery PESEL, adresy zamieszkania, numery telefonów, jak również informacje dot. sytuacji życiowej, prawnej i zdrowotnej beneficjentów. Organ nadzorczy podkreślił, że charakter naruszenia ochrony danych osobowych – przede wszystkim ich szczególne kategorie oraz kontekst, w którym były przetwarzane – skutkował ryzykiem naruszenia praw i wolności osób fizycznych, których dane dotyczyły.

W omawianej sprawie Prezes UODO stwierdził, że administrator nie dopełnił swoich podstawowych obowiązków po stwierdzeniu naruszenia ochrony danych osobowych. Po pierwsze, nie notyfikował go organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia (obowiązku przewidzianego w art. 33 ust. 1 RODO). Po drugie, nie zawiadomił bez zbędnej zwłoki osób, których ujawnione dane dotyczyły (obowiązku wskazanego w art. 34 ust. 1 RODO). Administrator wyjaśniał, że według niego ryzyko dla praw i wolności osób było mało prawdopodobne, ponieważ dane trafiły do instytucji publicznych, w formie dokumentu papierowego – co zdaniem administratora – było przesłanką braku ryzyka ich dalszego nieuprawnionego udostępniania. Prezes UODO nie zgodził się z tą argumentacją, wskazując, że już samo ujawnienie danych podmiotom nieuprawnionym, a zwłaszcza danych szczególnej kategorii, wywołuje ryzyko, które obliguje administratora do podjęcia konkretnej reakcji wskazanej w przepisach RODO.

Organ nadzorczy gruntownie przeanalizował stanowisko Fundacji w zakresie standardów oceny skutków naruszenia dla ochrony danych. Zdaniem Prezesa UODO należy  wziąć pod uwagę na wytyczne Europejskiej Rady Ochrony Danych oraz orzecznictwo sądów administracyjnych, z których wynika, że niezmaterializowanie się potencjalnej szkody nie zwalnia administratora z obowiązków notyfikacyjnych. W ocenie Prezesa UODO Fundacja dokonała subiektywnej oceny ryzyka i skupiła się na własnej perspektywie organizacyjnej, a nie na obiektywnej analizie skutków potencjalnego naruszenia ochrony danych dla osób, których one dotyczyły.

Dopiero na skutek skierowanych do niej wystąpień Prezesa UODO Fundacja zawiadomiła osoby, których dane dotyczyły, o stwierdzonym naruszeniu – najpierw poinformowała współpracowników Fundacji, a następnie beneficjentów pomocy prawnej. Organ nadzorczy stwierdził, że działanie podjęte przez Administratora było spóźnione i niewystarczające w kontekście obowiązku zawiadomienia bez zbędnej zwłoki o naruszeniu osoby, których dane dotyczą.

Kolejnym aspektem omawianej sprawy była kwestia usytuowania inspektora ochrony danych w strukturach organizacyjnych Fundacji. Prezes UODO ustalił, że funkcję inspektora ochrony danych sprawował członek zarządu, który następnie stał się prezesem zarządu – co zostało przez organ nadzorczy rozpoznane jako sprzeczne z art. 38 ust. 6 RODO, ponieważ inspektor ochrony danych może wykonywać inne zadania i obowiązki, jedynie w sytuacji, gdy administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

W toku postępowania Fundacja przedłożyła Prezesowi UODO własną analizę konfliktu interesów, w której wskazała, że jej zdaniem łączenie funkcji prezesa oraz inspektora danych osobowych jest dopuszczalne ze względu na specyfikę działalności projektowej oraz fakt, że cele i sposoby przetwarzania danych są w dużej mierze narzucane administratorowi przez instytucje przyznające granty. Prezes UODO nie zgodził się z tą argumentację – uznał ją za błędną oraz opartą na nieprawidłowej wykładni przepisów. Organ nadzorczy wskazał, że inspektor ochrony danych musi zachować niezależność organizacyjną, a osoba stojąca na czele organizacji m.in. nie może jednocześnie pod kątem legalności nadzorować samej siebie w zakresie przetwarzania danych osobowych. Intencją prawodawcy było bowiem zapewnienie, żeby inspektor ochrony danych pełnił w sposób niezależny rolę gwaranta właściwie i efektywnie zapewniającego zgodność przetwarzania danych z przepisami.

Organ nadzorczy krytycznie odniósł się również do faktu, że analiza konfliktu interesów została zatwierdzona przez osobę, której ona bezpośrednio dotyczyła, co w ocenie Prezesa Urzędu stanowiło o przykładzie braku niezależności i potwierdzało istnienie konfliktu interesów. Co więcej, według organu nadzorczego, Fundacja naruszyła art. 37 ust. 7 RODO w związku z przepisami ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych na skutek nieopublikowania danych kontaktowych inspektora ochrony danych oraz niezawiadomienia UODO o jego wyznaczeniu w ustawowym terminie 14 dni. Zawiadomienia te zostały skutecznie przekazane dopiero w sierpniu 2025 r. - po interwencjach Prezesa UODO w tej sprawie.

W toku postępowania administracyjnego Fundacja dokonała zmian organizacyjnych - odwołując niewłaściwie usytuowanego w jej strukturach inspektora danych osobowych i powołując na to stanowisko osobę z zewnątrz. Organ nadzorczy zaś odnotował te działania jako okoliczność istotną, jednak nie uznał ich za wystarczającą do odstąpienia od nałożenia kar administracyjnych, zaznaczając, że działania te miały charakter reaktywny i zostały podjęte dopiero w toku już prowadzonego postępowania.

W omawianej sprawie Prezes UODO nałożył na Fundację Lumus administracyjne kary pieniężne w łącznej wysokości 22 920 zł za naruszenie art. 33 ust. 1 RODO, art. 37 ust. 7 RODO oraz art. 38 ust. 6 RODO. Dodatkowo Prezes UODO udzielił Fundacji upomnienia za naruszenie art. 34 ust. 1 RODO oraz uzasadnił zastosowany wymiar kar poprzez wskazanie, że ich łączna wysokość stanowi niewielki procent rocznego obrotu Fundacji oraz wyraźnie odbiega od maksymalnych kar przewidzianych w RODO, przy czym jednocześnie spełnia funkcję represyjną i prewencyjną.

Według organu nadzorczego decyzja wydana w niniejszej sprawie ma istotne znaczenie społeczne, bowiem Prezes UODO akcentuje w niej, że organizacje pozarządowe realizujące zadania publiczne - zwłaszcza w obszarach wrażliwych - podlegają takim samym rygorom ochrony danych osobowych jak inne podmioty, które podlegają reżimowi RODO. Misja publiczna ani finansowanie ze środków publicznych nie zwalniają z obowiązku przestrzegania przepisów o ochronie danych osobowych.

Decyzja ta stanowi również głos w dyskusji o łączeniu funkcji inspektora ochrony danych z funkcjami kierowniczymi w organizacjach. Prezes UODO przypomina, że nawet w podmiotach o takiej strukturze jak fundacja zasada niezależności IOD nie może być relatywizowana lub bagatelizowana.

W ocenie Prezesa UODO decyzja w tej sprawie odnosi się do wielu systemowych aspektów dotyczących funkcjonowania organizacji pozarządowych i odpowiedzialności za ochronę danych osobowych oraz prawa do prywatności.

DKN.5131.15.2025