Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary pieniężne na Fundację Lumus w związku z szeregiem uchybień w procesach przetwarzania danych. Postępowanie wszczęte z urzędu wykazało, że organizacja nie tylko dopuściła do nadmiarowego ujawnienia danych wrażliwych, ale także zignorowała obowiązki notyfikacyjne oraz doprowadziła do konfliktu interesów na stanowisku Inspektora Ochrony Danych (IOD). Sprawa ta rzuca światło na systemowe problemy organizacji pozarządowych w obszarze zgodności z RODO.
Nadmiarowość danych i uchybienia w raportowaniu incydentów
Podstawą interwencji organu nadzorczego było przekazanie przez fundację do jednostek administracji rządowej dokumentacji zawierającej niezanonimizowane dane 29 osób, w tym 25 beneficjentów nieodpłatnej pomocy prawnej. Zakres ujawnionych informacji obejmował numery PESEL, adresy oraz dane szczególnej kategorii dotyczące sytuacji zdrowotnej i prawnej. Prezes UODO uznał te działania za nadmiarowe i wykraczające poza wymogi ustawowe.
Kluczowym błędem administratora było zaniechanie zgłoszenia naruszenia organowi nadzorczemu w wymaganym terminie 72 godzin oraz brak bezzwłocznego powiadomienia osób dotkniętych wyciekiem. Fundacja argumentowała, że ryzyko dla praw i wolności jest niskie ze względu na papierową formę dokumentacji przekazanej do instytucji publicznych. Organ odrzucił tę subiektywną argumentację, podkreślając, że samo ujawnienie danych podmiotom nieuprawnionym obliguje do podjęcia działań przewidzianych w art. 33 i 34 RODO.
Konflikt interesów w strukturze organizacyjnej
W toku kontroli stwierdzono istotne naruszenie art. 38 ust. 6 RODO dotyczące usytuowania IOD. Funkcję tę sprawował członek zarządu, a następnie prezes fundacji. Prezes UODO wskazał na ewidentny brak niezależności – osoba zarządzająca organizacją nie może skutecznie i obiektywnie nadzorować samej siebie w zakresie legalności przetwarzania danych. Sytuację pogorszył fakt, że analiza konfliktu interesów została zatwierdzona przez osobę, której bezpośrednio dotyczyła. Dodatkowo fundacja nie dopełniła obowiązku publikacji danych kontaktowych IOD oraz zgłoszenia jego powołania do UODO w ustawowym terminie.
Podsumowanie decyzji i skutki finansowe
Łączna wysokość kar pieniężnych wyniosła 22 920 zł i objęła naruszenia w zakresie raportowania incydentów oraz statusu IOD. Dodatkowo w kwestii braku powiadomienia osób, których dane dotyczą, zastosowano upomnienie. Organ nadzorczy zaznaczył, że misja publiczna fundacji nie stanowi okoliczności łagodzącej, a organizacje pozarządowe muszą przestrzegać standardów ochrony danych na równi z podmiotami komercyjnymi. Decyzja ta stanowi jasny sygnał dla managerów customer care i compliance, że reaktywne zmiany w strukturach, dokonane dopiero w trakcie kontroli, nie zwalniają z odpowiedzialności za wcześniejsze zaniedbania.
