Organizacje pozarządowe realizujące zadania publiczne - zwłaszcza w obszarach wrażliwych - podlegają takim samym rygorom ochrony danych osobowych jak inne podmioty, które podlegają reżimowi RODO – przypomina Urząd Ochrony Danych Osobowych. Systemowy problem nieświadomości tych regulacji ujawnił przypadek Fundacji Lumus, która uczestniczy w systemie nieodpłatnej pomocy prawnej. Za łamanie przepisów o ochronie danych otrzymała blisko 23 tys. zł kary.
O problemie zawiadomił UODO organ terenowej administracji rządowej, który wraz z dokumentem Fundacji Lumus dotyczącym wpisu na listę organizacji uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej i nieodpłatnego poradnictwa obywatelskiego (NPP/NPO), otrzymał załącznik zawierający niezanonimizowane dane osobowe 29 dotychczasowych beneficjentów NPP oraz czterech współpracowników Fundacji. Były to m.in. imiona i nazwiska, numery PESEL, adresy zamieszkania i numery telefonów oraz informacje o sytuacji życiowej, prawnej i zdrowotnej beneficjentów.
Według UODO przekazanie tak szerokiego zakresu danych nie było wymagane przepisami ustawy o nieodpłatnej pomocy prawnej oraz miało charakter nadmiarowy. W konsekwencji doszło do naruszenia przepisów ochrony danych osobowych polegającego na nieuprawnionym ujawnieniu danych. Co więcej, administrator danych (czyli Fundacja) nie dopełnił swoich podstawowych obowiązków związanych z naruszeniem. Po pierwsze, nie notyfikował tego faktu organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia (art. 33 ust. 1 RODO), po drugie, nie zawiadomił bez zbędnej zwłoki osób, których ujawnione dane dotyczyły (art. 34 ust. 1 RODO).
Prezes UODO nie zgodził się z argumentacją Fundacji Lumus, według której ryzyko dla praw i wolności osób było mało prawdopodobne, ponieważ dane trafiły do instytucji publicznych, w formie dokumentu papierowego. - Już samo ujawnienie danych podmiotom nieuprawnionym, a zwłaszcza danych szczególnej kategorii, wywołuje ryzyko, które obliguje administratora do podjęcia konkretnej reakcji wskazanej w przepisach RODO – przypomina urząd. Dodał, że niezmaterializowanie się potencjalnej szkody nie zwalnia administratora z obowiązków notyfikacyjnych. Osoby, których dane zostały przekazane organowi, zostały tym poinformowane już po interwencji UODO. Organ stwierdził jednak, że działanie administratora było spóźnione i niewystarczające.
Drugi aspekt sprawy dotyczył usytuowania inspektora ochrony danych (IOD) w strukturach organizacyjnych Fundacji. Funkcję tę sprawował członek zarządu, który następnie stał się prezesem zarządu. UODO uważa, że jest to sprzeczne z art. 38 ust. 6 RODO, ponieważ IOD może wykonywać swoje zadania i obowiązki jedynie w sytuacji, gdy nie powoduje to konfliktu interesów.
Fundacja przekonywała, że łączenie funkcji prezesa oraz IOD jest dopuszczalne ze względu na specyfikę działalności projektowej oraz fakt, że cele i sposoby przetwarzania danych są w dużej mierze narzucane administratorowi przez instytucje przyznające granty. Prezes UODO uznał tę argumentację za błędną oraz opartą na nieprawidłowej wykładni przepisów. Wskazał, że IOD musi zachować niezależność organizacyjną, a osoba stojąca na czele organizacji m.in. nie może jednocześnie pod kątem legalności nadzorować samej siebie w zakresie przetwarzania danych osobowych.
- Intencją prawodawcy było bowiem zapewnienie, żeby inspektor ochrony danych pełnił w sposób niezależny rolę gwaranta właściwie i efektywnie zapewniającego zgodność przetwarzania danych z przepisami – przypomina UODO.
Organ krytycznie odniósł się również do faktu, że analiza konfliktu interesów została zatwierdzona przez osobę, której ona bezpośrednio dotyczyła. Fundacja naruszyła też art. 37 ust. 7 RODO w związku z przepisami ustawy o ochronie danych osobowych na skutek nieopublikowania danych kontaktowych IOD oraz niezawiadomienia UODO o jego wyznaczeniu w ustawowym terminie 14 dni.
Fundacja w toku postępowania dostosowała się do wytycznych UODO. Organ wziął to pod uwagę, ale nie uznał, by była to okoliczność uzasadniająca całkowite odstąpienie od nałożenia kary.
Za naruszenie art. 33 ust. 1 RODO, art. 37 ust. 7 RODO oraz art. 38 ust. 6 RODO Fundacja Lumus otrzymała karę administracyjną 22 920 zł, zaś za naruszenie art. 34 ust. 1 RODO prezes UODO udzielił jej upomnienia.
UODO wskazuje w komunikacie, że decyzja ta (sygn. DKN.5131.15.2025) ma istotne znaczenie społeczne, akcentuje bowiem, że organizacje pozarządowe realizujące zadania publiczne podlegają reżimowi RODO.
- Misja publiczna ani finansowanie ze środków publicznych nie zwalniają z obowiązku przestrzegania przepisów o ochronie danych osobowych – czytamy.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
