Prezes UODO nałożył 10 913 zł kary na Komitet Inicjatywy Ustawodawczej „Stop LGBT” za to, w jaki sposób prowadził zbiórkę podpisów. Listy z podpisami pod projektem zakazującym zgromadzeń w sprawie praw osób LGBT leżały bowiem niezabezpieczone w kościele.
DKN.5131.32.2022
W uzasadnieniu decyzji:
– przypomniano o zasadzie rozliczalności oraz obowiązku administratora za właściwą ochroną danych osobowych,
Nie sposób również oprzeć się wrażeniu, że Administrator w przedstawionej Prezesowi UODO korespondencji usilnie odsuwa od siebie obowiązek przestrzegania przepisów rozporządzenia 2016/679 wskazując, że „(…) przepisy rozporządzenia „RODO” są prawem powszechnie obowiązującym, więc należy wychodzić z założenia, że obywatele (w tym osoby zbierające podpisy) przepisy rozporządzenia znają i je stosują”. W tym miejscu należy wskazać, że przepisy rozporządzenia 2016/679 są prawem bezwzględnie obowiązującym administratorów danych w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679, a zgodnie z art. 24 ust. 1 tegoż rozporządzenia, to właśnie administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Jak wskazał WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności WSA w Warszawie interpretuje w wyroku z dnia 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, stwierdzając, że „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”. – po raz kolejny zwrócono uwagę na zagrożenia wynikające z udostępnienia osobom nieupoważnionym numeru PESEL,
Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuję osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do udostępnienia osobie nieuprawnionej tego numeru ewidencyjnego wraz z imieniem i nazwiskiem, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/…/wyludzenie-kredytu-tak-dzialaja… – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).
– przedstawiono podstawowe zasady zbierania podpisów.
Podkreślić należy fakt, iż brak możliwości zidentyfikowania osób biorących udział w zbieraniu podpisów pod inicjatywą świadczy o całkowitym braku kontroli Administratora nad prowadzoną zbiórką podpisów oraz może prowadzić do podszywania się pod wolontariuszy zbierających podpisy na rzecz inicjatywy, co może skutkować rażącym naruszeniem praw lub wolności osób fizycznych oraz daleko idącymi konsekwencjami przekazania przez obywateli szerokiego zakresu danych osobowych osobom niezaufanym, które mogą wykorzystać je nawet do celów przestępczych.
Administrator wskazał, iż stosowanym przez niego środkiem jest „Stałe pozostawienie kart z podpisami pod nadzorem osób zbierających podpisy […]”. Jako propozycję reakcji na ryzyko Administrator zaproponował wzmożoną kontrolę zbiórek podpisów przez osoby zaufania publicznego. Wskazywane przez Administratora środki mogą stanowić odpowiednie zabezpieczenie przed utrwaleniem treści zapisanych kart poparcia chociażby w formie zdjęcia, nie chronią jednak osób, które zdecydowały się poprzeć inicjatywę, gdyż nie przewidują zasłonięcia tych danych przed wzrokiem kolejnych osób również wyrażających poparcie inicjatywy ustawodawczej bądź osób postronnych, które tylko zainteresowały się taką kartą bez zamiaru wspierania tej inicjatywy, co prowadzi do naruszenia poufności udostępnionych Administratorowi danych stanowiących również manifestację światopoglądu tych osób. Należy także podkreślić, że naruszenie poufności danych zawartych na wykazie obywateli, którzy udzielają poparcia projektowi ustawy, może być także następstwem zabrania takiego wykazu przez osobę nieuprawnioną lub zgubieniem wykazu przez osobę zbierającą podpisy. Takich ryzyk, a w konsekwencji i środków bezpieczeństwa, Administrator jednak nie przewidział w przeprowadzonej analizie ryzyka. Wskazać również należy, że z ustaleń dokonanych w niniejszej sprawie wynika, że nad wykazami znajdującymi się w kościele w C. osoba zbierająca podpisy nie prowadziła stałego nadzoru, co oznacza, że środek bezpieczeństwa o charakterze organizacyjnym, określony w analizie ryzyka, w praktyce nie był stosowany.