Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, nałożył administracyjne kary pieniężne na Fundację Lumus po stwierdzeniu szeregu poważnych naruszeń przepisów RODO. Organ nadzorczy podkreślił, że sprawa ta ma charakter systemowy i obnaża trudności, z jakimi borykają się organizacje pozarządowe w obszarze ochrony danych osobowych. Postępowanie wszczęte z urzędu wykazało, że podmioty trzecie otrzymywały od Fundacji dokumenty zawierające nadmiarowe i niezanonimizowane dane beneficjentów oraz współpracowników.
Nieprawidłowości wyszły na jaw, gdy terenowe organy administracji rządowej otrzymały wnioski o wpis na listę podmiotów uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej. Do dokumentacji załączono dane 29 osób fizycznych, w tym numery PESEL, adresy zamieszkania oraz wrażliwe informacje o sytuacji zdrowotnej i prawnej beneficjentów. Prezes UODO uznał, że przekazanie tak szerokiego zakresu informacji było nieuzasadnione i naruszało zasadę minimalizacji danych.
Fundacja nie dopełniła również obowiązków notyfikacyjnych, nie zgłaszając naruszenia organowi nadzorczemu w wymaganym terminie 72 godzin. Administrator zaniechał także niezwłocznego powiadomienia osób, których dane dotyczyły, błędnie zakładając, że przekazanie dokumentów do instytucji publicznych niweluje ryzyko. Organ nadzorczy odrzucił tę argumentację, wskazując na konieczność obiektywnej oceny skutków naruszenia dla praw i wolności osób fizycznych.
Kolejnym kluczowym uchybieniem było niewłaściwe usytuowanie inspektora ochrony danych w strukturze organizacji. Funkcję tę sprawował prezes zarządu, co uznano za rażący konflikt interesów i naruszenie zasady niezależności IOD. Fundacja próbowała tłumaczyć tę sytuację specyfiką działalności grantowej, jednak Prezes UODO podkreślił, że nikt nie może skutecznie nadzorować samego siebie pod kątem legalności przetwarzania danych.
W toku postępowania Fundacja dokonała zmian personalnych i powołała zewnętrznego inspektora, co organ uznał za okoliczność łagodzącą, ale niewystarczającą do odstąpienia od kary. Ostatecznie na organizację nałożono kary pieniężne w łącznej wysokości 22 920 zł oraz udzielono upomnienia. Decyzja ta ma przypominać wszystkim organizacjom pozarządowym, że misja publiczna nie zwalnia z rygorystycznego przestrzegania standardów ochrony prywatności.
Łączna kwota sankcji została dobrana tak, aby spełniać funkcję represyjną i prewencyjną, stanowiąc jednocześnie niewielki ułamek rocznego obrotu podmiotu. Organ nadzorczy zaznaczył, że ochrona danych osób korzystających z pomocy prawnej wymaga szczególnej staranności ze względu na kontekst i rodzaj przetwarzanych informacji. Wykazane naruszenia oraz treść decyzji o sygnaturze DKN.5131.15.2025 stanowią ważny głos w dyskusji o profesjonalizacji sektora NGO w Polsce.
