GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Gmina ukarana za publikację danych osobowych

Kara za uporczywy marketing

Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na włoską Gminę Baroninnisi  (Gmina) za niezgodne z prawem opublikowanie na swojej stronie internetowej danych osobowych stron przeprowadzonego postępowania. Kwota co prawda nie jest duża – 2000 euro (ok. 8800 zł) – niemniej dotyczy ona częstego grzechu administratorów, tj. publikacji danych osobowych w Internecie bez podstawy prawnej.

To już 26-ta kara nałożona przez włoskiego regulatora w oparciu o przepisy RODO. Liczba ta robi wrażenie na tle dokonań polskiego organu ds. ochrony danych osobowych (UODO) w tym zakresie, który dotychczas nałożył na administratorów jedynie 9 kar finansowych.

Skarga petenta

Postępowanie w tej sprawie zostało wszczęte w związku ze skargą, która wpłynęła do włoskiego organu nadzorczego. Wynikało z niej, że Gmina opublikowała na swojej oficjalnej stronie internetowej dane osobowe skarżącego i jego małżonki, jako stron postępowania administracyjnego.

Po przeprowadzeniu postępowania wyjaśniającego, włoski regulator ustalił, że na oficjalnej stronie internetowej Gminy można było pobrać dokumenty, w których znajdowały się – niezanonimizowane – dane osobowe skarżących. W ten sposób Gmina udostępniła imiona i nazwiska skarżących, daty i miejsca ich urodzenia, miejsce zamieszkania oraz informacje o nieruchomości skarżących, objętej przez Gminę kontrolą. Organ nadzorczy ustalił także, że przedmiotowe dokumenty były opublikowane na stronie internetowej Gminy przez kilka lat.

Brak celu publikacji

Włoski organ nadzorczy wskazał w decyzji, że opublikowanie danych osobowych skarżących w określony sposób nie było niezbędne ze względu na cel przetwarzania. Podkreślił on, że opublikowanie w Internecie danych osobowych skarżących w tak szerokim zakresie bez wątpienia naruszyło zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO), a więc jedną z podstawowych zasad dotyczących przetwarzania danych osobowych.

Co ciekawe, regulator zwrócił uwagę, że zgodnie z jednym z włoskich dekretów (dekret ustawodawczy 18/8/2000 n. 267), wszystkie uchwały gmin ogłaszane są poprzez ich publikację przez 15 dni (art. 124 ust. 1 dekretu). Po upływie tego okresu, organ gminny co prawda może nadal publikować na swojej stronie internetowej przedmiotowe dokumenty (np. w zakładkach poświęconych archiwum), niemniej musi on podjąć w takim przypadku odpowiednie środki w celu ochrony danych osobowych stron postępowania. Wówczas koniczne jest m.in. zanonimizowanie (zaciemnienie) danych osobowych i informacji pozwalających na identyfikację – choćby pośrednią – stron postępowania.

Kara na podstawie RODO

Organ nadzorczy zauważył w decyzji, że sporny dokument został opublikowany przez Gminę w 2017 r. Zgodnie z włoskim prawem krajowym, regulator – oceniając konkretne naruszenie – zobowiązany jest zastosować przepisy obowiązujące w chwili jego zaistnienia. W niniejszej sprawie organ nadzorczy zwrócił jednak uwagę, że naruszenie miało charakter trwały i ustało już po 25 maja 2018 r. W związku z tym – w jego ocenie – konieczne było zastosowanie w tej sprawie przepisów RODO.

Kara rekordowej wysokości za naruszenie przepisów RODO?

Dobra współpraca, mała kara

Organ nadzorczy podkreślił, że Gmina naruszyła w niniejszej sprawie zasadę minimalizacji danych, zaś udostępnienie danych osobowych skarżących w Internecie nie miało podstawy prawnej. Zwrócił on jednak uwagę, że Gmina w toku postępowania zanonimizowała dane osobowe skarżących oraz podjęła stosowne działania mające na celu usunięcie skutków naruszenia, w tym wdrożyła odpowiednie środki techniczne i organizacyjne (art. 25-32 RODO). Gmina zapewniła również, że przedmiotowe naruszenie miało charakter jednorazowy i było wynikiem zaniedbania. Wydaje nam się, że okoliczności te, w tym dobra współpraca z organem nadzorczym mogły mieć wpływ na ostateczną wysokość kary nałożonej na Gminę (kara może zostać jeszcze obniżona, jeżeli Gmina postanowi od razu ją uregulować).

Z uwagi na to, że w toku postępowania Gmina usunęła (zanonimizowała) dane osobowe Skarżących ze swojej strony internetowej, włoski organ nadzorczy postanowił nie podejmować dalszych działań, przewidzianych w art. 58 ust. 2 RODO.

Źródło:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9446659