Publikacja niezanonimizowanych danych osobowych w BIP przyczyną naruszenia RODO

Prezes UODO Mirosław Wróblewski przeprowadził postępowanie administracyjne w sprawie udostępnienia danych osobowych obywateli, którzy poparli petycję opublikowaną następnie przez Urząd Miasta i Gminy Myślenice w Biuletynie Informacji Publicznej. Organ nadzorczy dowiedział się o tym ze skargi osoby, której dane osobowe zostały wtedy udostępnione. Prezes UODO po przeprowadzonym postępowaniu stwierdził naruszenie ochrony danych osobowych przez administratora danych – Burmistrza Miasta i Gminy Myślenice - oraz nałożył na niego karę administracyjną w wysokości 7 700 zł.

Niezanonimizowana petycja zawierała dane osobowe (imiona, nazwiska, adresy zamieszkania oraz wzory podpisów) 749 osób, które ją poparły.
Burmistrz wniósł o umorzenie postępowania w przedmiocie niezgłoszenia naruszenia ochrony danych osobowych, argumentując, że w sprawie  wszczęto już postępowanie administracyjne na podstawie skargi indywidualnej. Dodał również, że publikacja niezanonimizowanych danych była skutkiem niezamierzonego błędu i ów niewłaściwy udostępniony plik z danymi osobowymi został zastąpiony poprawnym. W toku postępowania okazało się, że błędny plik był dostępny na stronie BIP przez kilkanaście dni. Administrator wyjaśnił jednak, że nie dopatrzył się w postępowaniu pracowników jakiegokolwiek zamiaru niezgodnego z prawem

Prezes UODO zadecydował o podjęciu czynności wyjaśniających wykraczających poza indywidualny wymiar sprawy – w związku ze zgłoszoną skargą dostrzeżono możliwość wystąpienia nieprawidłowości w procesie przetwarzania danych osobowych o innym charakterze niż tylko te objęte skargą indywidualną. Zdarzenie objęte rozstrzygnięciem w zakresie indywidualnych praw skarżącego stało się bodźcem do weryfikacji przez Prezesa UODO sprawy, o której uzyskał wiedzę. Nieuprawnione działanie wiązało się bowiem nie tylko z ingerencją w sferę indywidualnych praw podmiotów, ale wymagało oceny w kontekście innych obowiązków administratora. Organ nadzorczy zdecydował, że zasadne będzie wszczęcie postępowania administracyjnego z urzędu – w przedmiocie naruszenia przepisów prawa w związku z kwestionowaną publikacją w Biuletynie Informacji Publicznej Urzędu Miasta i Gminy Myślenice.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Organ nadzorczy może również istotnie pomóc w analizie przyczyn incydentu i wskazać jak im zapobiegać w przyszłości oraz jak zminimalizować jego skutki. W tym celu Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Organ nadzorczy może również zwrócić się do administratora o uzasadnienie niezgłoszenia naruszenia ochrony danych osobowych. Wnioski z przeprowadzonej analizy należy zatem odnotować w wewnętrznej ewidencji naruszeń i postępować zgodnie z zasadą rozliczalności określoną w RODO.

Administrator niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę związanego z nim ryzyka. Następnie ocena ryzyka powinna stanowić podstawę dla decyzji administratora o konieczności realizacji obowiązków wynikających z RODO w zakresie zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.

Pomimo faktu, że w niniejszej sprawie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator miał obowiązek zgłoszenia incydentu Prezesowi UODO. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu w przypadku, gdy przeprowadzona analiza wykaże, że jest mało prawdopodobne wystąpienie ryzyka dla naruszeń praw i wolności. Małe prawdopodobieństwo powinno być utożsamiane z sytuacją, w której administrator oceniający ryzyko posiada podstawy do stwierdzenia, że taki skutek wcale się nie urzeczywistni, czyli wtedy gdy rzeczywiście można mówić o „braku ryzyka”. Europejska Rada Ochrony Danych stoi na stanowisku, że wyjątek w RODO przewidujący przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych należy rozumieć wąsko – tzn. wtedy gdy oczywiście małe jest prawdopodobieństwo jego wystąpienia. Chodzi o sytuację w której brak jest realnej możliwości jego powstania i odniesienia skutków dla praw i wolności osób, których dane dotyczą.

Prezes UODO decydując o nałożeniu kary administracyjnej wziął pod uwagę fakt, że Administrator jako jednostka samorządu terytorialnego oraz podmiot publiczny powinien odznaczać się najwyższą znajomością prawa. Naruszenie jest poważne, a plik zawierający niezanonimizowane dane osobowe był dostępny przez kilkanaście dni. Administrator nie zmienił stanowiska w sprawie obowiązkowego zgłoszenia naruszenia po wezwaniu organu nadzorczego w sprawie skargi indywidualnej oraz wszczęciu postępowania w sprawie naruszenia ochrony danych. Do momentu wydania decyzji przez Prezesa UODO nie nastąpiło zgłoszenie stosownego naruszenia przez administratora.

DKN.5131.17.2025