square mask on article list

PUODO ukarał stowarzyszenie za wyciek danych uczestników zawodów sportowych

PUODO nałożył na stowarzyszenie organizujące zawody sportowe karę w wysokości 916 zł za niezgłoszenie incydentu. Chociaż kara jest niska, a podstawa jej nałożenia mało
interesująca, nie pierwszy to i nie ostatni administrator, który nie zgłosił incydentu w terminie – warto więc przyjrzeć się szczegółom tej sprawy.


Incydent dotyczył opublikowania na Facebooku listy uczestników zawodów sportowych. Na stronie stowarzyszenia zamieszczono plik z danymi, możliwy do pobrania przez użytkowników. W arkuszu kalkulacyjnym były widoczne takie dane jak imię, nazwisko, płeć, przynależność klubowa oraz miejscowość. PUODO uznał te dane za adekwatne i nie zakwestionował ich przetwarzania.
Problem polegał na tym, że gdy ktoś ściągnął plik, widoczne były dodatkowe dane, takie jak e-mail oraz data urodzenia uczestników. W wyniku niewłaściwego zabezpieczenia pliku dane osobowe ponad 100 osób trafiły do internetu.


PUODO nie uwzględnił argumentów Stowarzyszenia

Stowarzyszenie niechętnie współpracowało z PUODO, a po wszczęciu postępowania tłumaczyło się, że:

  • ma ograniczone możliwości organizacyjne, ponieważ zadania wykonują wolontariusze,
  • nie ma środków finansowych na zlecenie profesjonalistom zadań związanych z przetwarzaniem danych,
  • zawody mają charakter amatorski.


PUODO stwierdził jednak, że te wyjaśnienia „pozostają bez znaczenia z punktu widzenia obowiązków stowarzyszenia jako administratora danych”.

Potrzebujesz konsultacji?

Na spotkaniu omówimy jakie potrzeby ma Twoja firma, dzięki czemu przedstawię kompleksową ofertę.

Bezpłatna konsultacja

Organ uznał, że przetwarzając dane osobowe, jesteśmy zobowiązani mieć wiedzę w zakresie ich ochrony. Szczególnie publikując dane w internecie, powinniśmy być świadomi ryzyk związanych z takim działaniem. Gdy administrator nie robi nic, aby minimalizować ryzyko związane z przetwarzaniem danych, prowadzi to do naruszenia praw lub wolności osób fizycznych.


Rozmiar działalności nie ma znaczenia

Z punktu widzenia ochrony danych osobowych nie ma znaczenia, czy jesteśmy dużym przedsiębiorstwem, czy małą organizacją. To nie zwalnia nas z obowiązków.

Małe firmy mogą czuć się pokrzywdzone, że nakłada się na nie trudne obowiązki, ale to samo mogłaby powiedzieć osoba, której dane dotyczą. Dlaczego moje dane mają być gorzej chronione, bo przetwarza
je ktoś, kto nie ma środków na ich prawidłowe zabezpieczenie?

Dla podmiotu danych nie ma znaczenia, czy jego dane, np. imię i nazwisko, e-mail, wyciekną z dużej korporacji czy z lokalnej firmy, ponieważ skutki mogą być dokładnie takie same: atak phishingowy, założenie fałszywego konta itp.

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter


    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form