O pierwszej spektakularnej karze RODO już pisaliśmy. Teraz kolej na następną decyzję UODO, na mocy której nałożono srogą karę, tym razem na organizację sportową, dla której kara w wysokości 13.000 EURO (55 750,50 PLN) z pewnością stanowi nie lada obciążenie.
Kara została nałożona po tym jak UODO odkrył, że zgłoszone przez tę organizację naruszenie, nie zostało – w dużym skrócie mówiąc – poprawnie usunięte. Polegało ono na niezamierzonym zamieszczeniu nadmiarowych danych osób, którym przyznano licencje sędziowskie. Oprócz imienia i nazwiska, zamieszczono bowiem dodatkowo numer PESEL oraz adres zamieszkania, które to dane – w odniesieniu do tej sytuacji – uznano za zbędne do publikowania.
I mimo, że naruszenie zgłoszono, a osoby, których dane dotyczą, zostały o nim poinformowane, to jednak zastosowane środki zaradcze nie okazały się wystarczające. Zawiodła w tym wypadku niepoprawnie stosowana zasada minimalizacji danych, o której mowa w art. 5 ust. 1 lit c RODO, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. A zatem przetwarzanie danych w nadmiernej ilości – co miało miejsce w tym konkretnym wypadku – narusza wymienioną zasadę, a co więcej, stwarza zagrożenie dla praw i wolności osób, których dane dotyczą, gdyż inicjuje dogodne warunki dla nieuprawnionych osób, których celem może być wykorzystanie tych danych niezgodnie z prawem, jak na przykład w celu zaciągnięcia zobowiązania.
Wartym zastanowienia w tej sprawie jest, że mimo iż naruszenie zostało do UODO zgłoszone, a osoby których dane dotyczyły, poinformowano o naruszeniu, a nawet podjęto konkretne kroki w celu wyeliminowania naruszeń, to i tak UODO uznał, że naruszenie miało na tyle poważny charakter, iż kara jest zasadna. Na przykładzie tej sprawy, warto jeszcze zwrócić uwagę na dwie ważne kwestie, mianowicie, że w wyniku naruszenia ostatecznie nie stwierdzono żadnej szkody, oraz że organizacja, u której naruszenie stwierdzono trudniła się działalnością niezarobkową, w przeciwieństwie do większości zobligowanych do stosowania RODO firm.
Podobnie jak przy poprzedniej karze, tak i w tym wypadku, nałożona kara ma mieć przede wszystkim charakter odstraszający.
To daje wiele do myślenia, a my zachęcamy Ciebie administratorze danych do ponownej weryfikacje tego co w ramach RODO udało Ci się w Twojej firmie wdrożyć i zastosować.