Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na włoską Gminę Baroninnisi (Gmina) za niezgodne z prawem opublikowanie na swojej stronie internetowej danych osobowych stron przeprowadzonego postępowania. Kwota co prawda nie jest duża – 2000 euro (ok. 8800 zł) – niemniej dotyczy ona częstego grzechu administratorów, tj. publikacji danych osobowych w Internecie bez podstawy prawnej.
To już 26-ta kara nałożona przez włoskiego regulatora w oparciu o przepisy RODO. Liczba ta robi wrażenie na tle dokonań polskiego organu ds. ochrony danych osobowych (UODO) w tym zakresie, który dotychczas nałożył na administratorów jedynie 9 kar finansowych.
Skarga petenta
Postępowanie w tej sprawie zostało wszczęte w związku ze skargą, która wpłynęła do włoskiego organu nadzorczego. Wynikało z niej, że Gmina opublikowała na swojej oficjalnej stronie internetowej dane osobowe skarżącego i jego małżonki, jako stron postępowania administracyjnego.
Po przeprowadzeniu postępowania wyjaśniającego, włoski regulator ustalił, że na oficjalnej stronie internetowej Gminy można było pobrać dokumenty, w których znajdowały się – niezanonimizowane – dane osobowe skarżących. W ten sposób Gmina udostępniła imiona i nazwiska skarżących, daty i miejsca ich urodzenia, miejsce zamieszkania oraz informacje o nieruchomości skarżących, objętej przez Gminę kontrolą. Organ nadzorczy ustalił także, że przedmiotowe dokumenty były opublikowane na stronie internetowej Gminy przez kilka lat.
Brak celu publikacji
Włoski organ nadzorczy wskazał w decyzji, że opublikowanie danych osobowych skarżących w określony sposób nie było niezbędne ze względu na cel przetwarzania. Podkreślił on, że opublikowanie w Internecie danych osobowych skarżących w tak szerokim zakresie bez wątpienia naruszyło zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO), a więc jedną z podstawowych zasad dotyczących przetwarzania danych osobowych.
Co ciekawe, regulator zwrócił uwagę, że zgodnie z jednym z włoskich dekretów (dekret ustawodawczy 18/8/2000 n. 267), wszystkie uchwały gmin ogłaszane są poprzez ich publikację przez 15 dni (art. 124 ust. 1 dekretu). Po upływie tego okresu, organ gminny co prawda może nadal publikować na swojej stronie internetowej przedmiotowe dokumenty (np. w zakładkach poświęconych archiwum), niemniej musi on podjąć w takim przypadku odpowiednie środki w celu ochrony danych osobowych stron postępowania. Wówczas koniczne jest m.in. zanonimizowanie (zaciemnienie) danych osobowych i informacji pozwalających na identyfikację – choćby pośrednią – stron postępowania.
Kara na podstawie RODO
Organ nadzorczy zauważył w decyzji, że sporny dokument został opublikowany przez Gminę w 2017 r. Zgodnie z włoskim prawem krajowym, regulator – oceniając konkretne naruszenie – zobowiązany jest zastosować przepisy obowiązujące w chwili jego zaistnienia. W niniejszej sprawie organ nadzorczy zwrócił jednak uwagę, że naruszenie miało charakter trwały i ustało już po 25 maja 2018 r. W związku z tym – w jego ocenie – konieczne było zastosowanie w tej sprawie przepisów RODO.
Dobra współpraca, mała kara
Organ nadzorczy podkreślił, że Gmina naruszyła w niniejszej sprawie zasadę minimalizacji danych, zaś udostępnienie danych osobowych skarżących w Internecie nie miało podstawy prawnej. Zwrócił on jednak uwagę, że Gmina w toku postępowania zanonimizowała dane osobowe skarżących oraz podjęła stosowne działania mające na celu usunięcie skutków naruszenia, w tym wdrożyła odpowiednie środki techniczne i organizacyjne (art. 25-32 RODO). Gmina zapewniła również, że przedmiotowe naruszenie miało charakter jednorazowy i było wynikiem zaniedbania. Wydaje nam się, że okoliczności te, w tym dobra współpraca z organem nadzorczym mogły mieć wpływ na ostateczną wysokość kary nałożonej na Gminę (kara może zostać jeszcze obniżona, jeżeli Gmina postanowi od razu ją uregulować).
Z uwagi na to, że w toku postępowania Gmina usunęła (zanonimizowała) dane osobowe Skarżących ze swojej strony internetowej, włoski organ nadzorczy postanowił nie podejmować dalszych działań, przewidzianych w art. 58 ust. 2 RODO.
Źródło:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9446659