Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 7,7 tys. zł na Burmistrza Miasta i Gminy Myślenice. Sprawa dotyczyła opublikowania w Biuletynie Informacji Publicznej petycji zawierającej niezanonimizowane dane osobowe 749 osób, które ją poparły. W dokumencie znalazły się imiona, nazwiska, adresy zamieszkania oraz wzory podpisów mieszkańców.
Do postępowania doszło po skardze jednej z osób, której dane zostały udostępnione. Po przeprowadzeniu czynności Prezes UODO uznał, że doszło do naruszenia ochrony danych osobowych przez administratora danych, czyli Burmistrza Miasta i Gminy Myślenice. Istotne znaczenie miało nie tylko samo opublikowanie pliku z danymi, ale również brak zgłoszenia naruszenia organowi nadzorczemu.
Jak wynika z ustaleń UODO, błędny, niezanonimizowany plik był dostępny w BIP przez kilkanaście dni. Administrator tłumaczył, że publikacja danych była skutkiem niezamierzonego błędu, a nieprawidłowy dokument został później zastąpiony poprawną wersją. Burmistrz argumentował również, że nie dopatrzył się po stronie pracowników zamiaru działania niezgodnego z prawem.
Prezes UODO uznał jednak, że okoliczności sprawy wymagały szerszej oceny niż tylko rozpatrzenie indywidualnej skargi. Organ nadzorczy wszczął postępowanie z urzędu, ponieważ publikacja danych w BIP mogła wskazywać na nieprawidłowości w procesie przetwarzania danych osobowych. Sprawa dotyczyła więc nie tylko naruszenia praw konkretnej osoby, ale także obowiązków administratora wynikających z RODO.
Kluczowym elementem decyzji było stanowisko UODO dotyczące obowiązku zgłaszania naruszeń ochrony danych osobowych. Administrator, po uzyskaniu informacji o incydencie, powinien niezwłocznie przeprowadzić ocenę ryzyka i na tej podstawie zdecydować, czy naruszenie należy zgłosić organowi nadzorczemu. Zdaniem UODO w tej sprawie taki obowiązek istniał.
Organ wskazał, że choć nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nie oznaczało to automatycznie braku obowiązku zgłoszenia incydentu. Administrator może odstąpić od zgłoszenia jedynie wtedy, gdy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw i wolności osób, których dane dotyczą. UODO podkreślił, że taki wyjątek należy interpretować wąsko.
W praktyce oznacza to, że brak obowiązku zgłoszenia można przyjąć tylko wtedy, gdy administrator ma podstawy do uznania, że ryzyko faktycznie nie występuje. W tej sprawie opublikowano jednak szeroki zakres danych osobowych, w tym adresy zamieszkania i wzory podpisów, a plik był dostępny publicznie przez kilkanaście dni. Takie okoliczności, według organu, wymagały zgłoszenia naruszenia Prezesowi UODO.
Przy wymierzaniu kary Prezes UODO wziął pod uwagę także status administratora. Burmistrz jako organ jednostki samorządu terytorialnego i podmiot publiczny powinien wykazywać się szczególną znajomością przepisów dotyczących ochrony danych osobowych. Organ zwrócił uwagę, że pomimo wezwań i prowadzonego postępowania administrator nie zmienił stanowiska w sprawie obowiązku zgłoszenia naruszenia.
Decyzja UODO ma znaczenie nie tylko dla samorządów, ale dla wszystkich administratorów danych. Pokazuje, że nawet niezamierzony błąd techniczny lub organizacyjny nie zwalnia z obowiązków wynikających z RODO. Po wykryciu naruszenia konieczna jest rzetelna analiza ryzyka, odnotowanie incydentu w wewnętrznej ewidencji oraz — jeżeli wymagają tego okoliczności — zgłoszenie sprawy organowi nadzorczemu.
Sprawa została oznaczona sygnaturą DKN.5131.17.2025.
