UODO ukarał burmistrza Myślenic za niezgłoszenie naruszenia ochrony danych osobowych

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 7,7 tys. zł na Burmistrza Miasta i Gminy Myślenice. Sprawa dotyczyła opublikowania w Biuletynie Informacji Publicznej petycji zawierającej niezanonimizowane dane osobowe 749 osób, które ją poparły. W dokumencie znalazły się imiona, nazwiska, adresy zamieszkania oraz wzory podpisów mieszkańców.

Do postępowania doszło po skardze jednej z osób, której dane zostały udostępnione. Po przeprowadzeniu czynności Prezes UODO uznał, że doszło do naruszenia ochrony danych osobowych przez administratora danych, czyli Burmistrza Miasta i Gminy Myślenice. Istotne znaczenie miało nie tylko samo opublikowanie pliku z danymi, ale również brak zgłoszenia naruszenia organowi nadzorczemu.

Jak wynika z ustaleń UODO, błędny, niezanonimizowany plik był dostępny w BIP przez kilkanaście dni. Administrator tłumaczył, że publikacja danych była skutkiem niezamierzonego błędu, a nieprawidłowy dokument został później zastąpiony poprawną wersją. Burmistrz argumentował również, że nie dopatrzył się po stronie pracowników zamiaru działania niezgodnego z prawem.

Prezes UODO uznał jednak, że okoliczności sprawy wymagały szerszej oceny niż tylko rozpatrzenie indywidualnej skargi. Organ nadzorczy wszczął postępowanie z urzędu, ponieważ publikacja danych w BIP mogła wskazywać na nieprawidłowości w procesie przetwarzania danych osobowych. Sprawa dotyczyła więc nie tylko naruszenia praw konkretnej osoby, ale także obowiązków administratora wynikających z RODO.

Kluczowym elementem decyzji było stanowisko UODO dotyczące obowiązku zgłaszania naruszeń ochrony danych osobowych. Administrator, po uzyskaniu informacji o incydencie, powinien niezwłocznie przeprowadzić ocenę ryzyka i na tej podstawie zdecydować, czy naruszenie należy zgłosić organowi nadzorczemu. Zdaniem UODO w tej sprawie taki obowiązek istniał.

Organ wskazał, że choć nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nie oznaczało to automatycznie braku obowiązku zgłoszenia incydentu. Administrator może odstąpić od zgłoszenia jedynie wtedy, gdy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw i wolności osób, których dane dotyczą. UODO podkreślił, że taki wyjątek należy interpretować wąsko.

W praktyce oznacza to, że brak obowiązku zgłoszenia można przyjąć tylko wtedy, gdy administrator ma podstawy do uznania, że ryzyko faktycznie nie występuje. W tej sprawie opublikowano jednak szeroki zakres danych osobowych, w tym adresy zamieszkania i wzory podpisów, a plik był dostępny publicznie przez kilkanaście dni. Takie okoliczności, według organu, wymagały zgłoszenia naruszenia Prezesowi UODO.

Przy wymierzaniu kary Prezes UODO wziął pod uwagę także status administratora. Burmistrz jako organ jednostki samorządu terytorialnego i podmiot publiczny powinien wykazywać się szczególną znajomością przepisów dotyczących ochrony danych osobowych. Organ zwrócił uwagę, że pomimo wezwań i prowadzonego postępowania administrator nie zmienił stanowiska w sprawie obowiązku zgłoszenia naruszenia.

Decyzja UODO ma znaczenie nie tylko dla samorządów, ale dla wszystkich administratorów danych. Pokazuje, że nawet niezamierzony błąd techniczny lub organizacyjny nie zwalnia z obowiązków wynikających z RODO. Po wykryciu naruszenia konieczna jest rzetelna analiza ryzyka, odnotowanie incydentu w wewnętrznej ewidencji oraz — jeżeli wymagają tego okoliczności — zgłoszenie sprawy organowi nadzorczemu.

Sprawa została oznaczona sygnaturą DKN.5131.17.2025.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

UODO: media potrzebują wspólnych standardów ochrony danych osobowych

Zasady anonimizacji danych, archiwizacja materiałów prasowych ze stron internetowych,...

Nieuczciwa konkurencja XXI wieku. Dlaczego firmy tracą przewagę, choć nikt nie kradnie dokumentów

Najgroźniejszy konkurent nie zawsze wychodzi z firmy z teczką...

Praca zostanie wstrzymana podczas największych upałów. Rząd określił limity temperatur

Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało rozporządzenie określające...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Ministerstwo Infrastruktury przygotowuje nowe przepisy dla hulajnóg elektrycznych i taksówek

Ministerstwo Infrastruktury opracowało projekt ustawy dotyczący hulajnóg elektrycznych, rowerów...
Wiadomości

Ministerstwo Infrastruktury przygotowuje nowe przepisy dla hulajnóg elektrycznych i taksówek

Ministerstwo Infrastruktury opracowało projekt ustawy dotyczący hulajnóg elektrycznych, rowerów...

Praca zostanie wstrzymana podczas największych upałów. Rząd określił limity temperatur

Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało rozporządzenie określające...

Nieuczciwa konkurencja XXI wieku. Dlaczego firmy tracą przewagę, choć nikt nie kradnie dokumentów

Najgroźniejszy konkurent nie zawsze wychodzi z firmy z teczką...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

UODO: media potrzebują wspólnych standardów ochrony danych osobowych

Zasady anonimizacji danych, archiwizacja materiałów prasowych ze stron internetowych,...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Konflikt Hotelu Gołębiewski z Książulem: czy „czarna lista” jest legalna?

Spór między siecią Hotel Gołębiewski a youtuberem Szymonem „Książulo”...
Coś dla Ciebie

Wybrane kategorie