Komitet „Stop LGBT” ukarany za niewłaściwe zbieranie podpisów

Kara za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 10 913 zł na Komitet Inicjatywy Ustawodawczej „Stop LGBT” za nieprawidłowe zabezpieczenie list poparcia. Listy, które zawierały dane osobowe, były przechowywane w kościele bez odpowiedniego zabezpieczenia, co umożliwiało ich swobodny dostęp przez osoby postronne.

Jak czytać najnowsze wydanie "Security Magazine"? Monika Świetlińska

W wyniku tego naruszenia doszło do poważnego złamania przepisów RODO.

Zbieranie podpisów a RODO

Składanie obywatelskich projektów ustaw staje się coraz bardziej popularne. Aby złożyć taki projekt, konieczne jest zebranie podpisów poparcia wraz z danymi osobowymi jak imię, nazwisko, numer PESEL oraz adres. Każda strona listy poparcia musi również zawierać nazwę komitetu i inicjatywy. Komitet inicjatywy ustawodawczej jest administratorem tych danych i to na nim spoczywają obowiązki wynikające z RODO. W przypadku Komitetu „Stop LGBT” dane te nie były odpowiednio chronione.

Błędy w ocenie ryzyka

Administrator danych, czyli Komitet „Stop LGBT”, przeprowadził analizę ryzyka, ale zrobił to nieprawidłowo. Nie zidentyfikowano wszystkich możliwych zagrożeń, a te, które zostały zidentyfikowane, oceniono jako „nieistotne”.

Skutkowało to brakiem nadzoru nad listami poparcia, co pozwalało osobom postronnym na swobodny dostęp do danych osobowych. Administrator skupił się jedynie na ryzyku utraty lub zniszczenia list, ignorując ryzyka związane z dostępem osób nieuprawnionych.

Wskazówki dotyczące zbierania podpisów

PUODO w swojej decyzji wskazał, jak prawidłowo powinno się zbierać podpisy pod inicjatywami ustawodawczymi. RODO nie określa konkretnych technicznych zaleceń, ale podkreśla konieczność odpowiedniego zabezpieczenia danych.

Ile firma zapłaci za to, że pracownik zgubił pendrive z danymi osobowymi? Joanna Gościńska

Osoby zbierające podpisy muszą dbać o to, aby zebrane już dane były chronione przed dostępem kolejnych podpisujących. Listy nie mogą być pozostawiane bez nadzoru. Należy również dbać o to, aby dane były przechowywane w miejscach niedostępnych publicznie.

Konsekwencje niewłaściwej analizy ryzyka

Komitet „Stop LGBT” w swojej analizie ryzyka pominął wiele istotnych aspektów. Ryzyka związane z możliwością skopiowania list czy dostępem innych podpisujących się do danych osobowych zostały ocenione jako „nieznaczne”. Administrator założył, że wystarczy, aby karty z podpisami były pod nadzorem osób zbierających podpisy, co w rzeczywistości nie miało miejsca. W konsekwencji dane osobowe były narażone na niekontrolowany dostęp, co naruszało przepisy RODO.

Reakcja na naruszenie bezpieczeństwa

Niewłaściwa ocena ryzyka spowodowała, że Komitet „Stop LGBT” nie zgłosił naruszenia ochrony danych osobowych do PUODO. Takie zgłoszenie jest wymagane, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W tym przypadku takie ryzyko istniało, ponieważ dane były dostępne publicznie.

PUODO zobowiązał administratora do zawiadomienia osób, których dane dotyczą, oraz wyjaśnienia im konsekwencji zdarzenia i wskazania środków bezpieczeństwa, które mogą samodzielnie wdrożyć.

Gdzie zgłosić wyciek danych?Katarzyna Leszczak

Prezes UODO nałożył karę na Komitet Inicjatywy Ustawodawczej „Stop LGBT” za niewłaściwe zabezpieczenie danych osobowych, podkreślając konieczność przestrzegania przepisów RODO w procesie zbierania podpisów pod inicjatywami ustawodawczymi.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.