Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/17

Kraj:

Polska

Data wydania decyzji:

10.02.2026 r.

Podmiot kontrolowany:

Fundacja Lumus

Wysokość kary (EUR):

5.220

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 37 ust. 7, art. 38 ust. 6 RODO.

Nieprzestrzeganie zasad związanych z powołaniem IOD.

 

Przyczyna naruszenia

Do naruszenia doszło, ponieważ Fundacja Lumus, składając wnioski o wpis na listę organizacji uprawnionych do prowadzenia nieodpłatnej pomocy prawnej, załączyła niezanonimizowane karty beneficjentów i dane współpracowników, ujawniając nadmiarowy zakres informacji. Znalazły się w nich imiona, nazwiska, PESEL‑e, adresy, numery telefonów oraz szczegóły spraw, niekiedy dotyczące zdrowia lub trudnej sytuacji rodzinnej. Ustawa o nieodpłatnej pomocy prawnej nie wymagała ujawniania takich danych, a Fundacja przyznała, że było to wynikiem błędu i braku anonimizacji, do którego doszło z powodu niewłaściwie wdrożonych procedur i niewystarczającej świadomości personelu. Dodatkowo organizacja nie zgłosiła naruszenia Prezesowi UODO w wymaganym terminie 72 godzin i nie zawiadomiła osób, których dane dotyczą, co spotęgowało skalę naruszenia.

 

Opis wydarzeń

  • Sygnalizacja incydentu przez organy wojewódzkie: 12 września 2022 r. urząd wojewódzki zgłosił Prezesowi UODO możliwy incydent polegający na tym, że Fundacja przesłała niezanonimizowane dokumenty jako załączniki do wniosku o wpis na listę organizacji pozarządowych. Drugi sygnał, z 24 listopada 2022 r., potwierdził, że do urzędów przekazano 25 kart zawierających imiona i nazwiska, adresy, numery PESEL, telefony, informacje o sprawach prawnych, a także dane o chorobie lub sytuacji rodzinnej beneficjentów oraz dane czterech współpracowników. Wojewoda zauważył, że tak szerokie ujawnienie danych nie ma podstaw w przepisach.

  • Brak podstawy prawnej i nadmiarowość danych: Ustawa o nieodpłatnej pomocy prawnej określa, jakie dokumenty należy dołączyć do wniosku i nie przewiduje przekazywania danych osobowych konkretnych beneficjentów ani pełnych danych współpracowników. Fundacja jednak dołączyła karty beneficjentów bez anonimizacji, co było działaniem nadmiarowym, sprzecznym z zasadą minimalizacji danych. Organizacja przyznała później, że ujawnienie wynikło z błędu i braku procedur kontroli, a nie z zamierzonego działania.

  • Skutki naruszenia i ryzyko dla osób fizycznych: Na skutek działania Fundacji doszło do nieuprawnionego ujawnienia danych 29 osób: 25 beneficjentów pomocy prawnej i czterech współpracowników. Ujawnione informacje obejmowały nie tylko podstawowe dane identyfikacyjne, ale także dane dotyczące sytuacji prawnej, życiowej i zdrowotnej, co zwiększało ryzyko naruszenia praw i wolności osób fizycznych. Odbiorcami były urzędy wojewódzkie, jednak fakt, że podmioty te nie potrzebowały tak szczegółowych danych, pogłębiał problem nadmiarowości.

  • Niepowiadomienie organu nadzorczego i osób poszkodowanych: Mimo stwierdzenia naruszenia, administrator nie zgłosił go Prezesowi UODO w terminie 72 godzin oraz nie zawiadomił niezwłocznie osób, których dane dotyczą. Fundacja tłumaczyła, że ryzyko było niskie, ponieważ dane trafiły do instytucji publicznych, jednak UODO uznał, że samo ujawnienie danych podmiotom nieuprawnionym obliguje administratora do notyfikacji. Zawiadomienia do osób, których dane dotyczą, zostały wysłane dopiero po interwencjach prezesa UODO.

  • Problemy z Inspektorem Ochrony Danych: Od lutego do lipca 2025 r. funkcję IOD pełnił członek zarządu, później prezes i koordynator projektów, co naruszało art. 38 ust. 6 RODO. Wymaga on, by IOD był niezależny i nie miał konfliktu interesów. Fundacja nie opublikowała danych kontaktowych IOD oraz nie zgłosiła jego powołania organowi nadzorczemu w ustawowym terminie 14 dni. Zgłoszenia dokonano dopiero w sierpniu 2025 r. Takie zaniedbania wskazują na systemowe braki w kulturze compliance.

  • Decyzja i sankcje UODO: W decyzji z 10 lutego 2026 r. Prezes UODO nałożył na Fundację administracyjne kary pieniężne: 6 700 zł za niezgłoszenie naruszenia, 6 091 zł za brak zgłoszenia i publikacji danych IOD, 9 137 zł za konflikt interesów. Udzielił również upomnienia za brak zawiadomienia osób, co w sumie dało 21 928 zł. W uzasadnieniu podkreślono, że organizacje pozarządowe realizujące zadania publiczne muszą przestrzegać przepisów RODO tak jak inne podmioty. Misja publiczna ani finansowanie ze środków publicznych nie zwalniają z obowiązków ochrony danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie zasady minimalizacji i selekcji danych: Każda organizacja powinna przeanalizować obowiązujące przepisy i określić, jakie dane są niezbędne do osiągnięcia celu, a jakich nie wolno ujawniać. Ustawa o nieodpłatnej pomocy prawnej wymaga np. przedstawienia dokumentów potwierdzających zakres działalności, ale nie wymaga wskazywania danych konkretnych beneficjentów. Zgodnie z wytycznymi dotyczącymi anonimizacji, dane należy ograniczyć do minimum, a wnioski czy raporty powinny zawierać jedynie zagregowane informacje. Organizacja powinna utworzyć wewnętrzną listę kontrolną wskazującą, jakie dokumenty można załączać, w jakiej formie (anonimizacja, pseudonimizacja) i kto jest odpowiedzialny za ich weryfikację przed wysyłką.

  2. Anonimizacja i pseudonimizacja dokumentów: Przed przesłaniem jakichkolwiek dokumentów zawierających dane osobowe należy zastosować anonimizację lub pseudonimizację. W praktyce można stosować następujące techniki anonimizacji: zamalowanie danych w skanach, generowanie streszczeń liczbowych, użycie pseudonimów. Pseudonimizacja powinna odbywać się w sposób uniemożliwiający identyfikację osoby przez podmiot otrzymujący dokument, a klucze odkodowujące powinny być przechowywane oddzielnie. Należy zadbać, by pracownicy byli świadomi różnicy między anonimizacją a pseudonimizacją.

  3. Szkolenia dla personelu i kultura ochrony danych: Konieczne jest systematyczne szkolenie osób odpowiedzialnych za przetwarzanie danych w organizacji. Szkolenia powinny zawierać część praktyczną, czyli analizę studiów przypadków, np. opisanego naruszenia, oraz procedury reagowania na incydenty. Taka edukacja pomaga zapobiegać błędom wynikającym z braku świadomości.

  4. Procedury reagowania na incydenty i rejestr naruszeń: Organizacja powinna opracować szczegółową procedurę postępowania w przypadku naruszenia ochrony danych. Procedura powinna obejmować: zgłoszenie incydentu do specjalnie wyznaczonego zespołu lub IOD, ocenę ryzyka dla praw i wolności osób, zgłoszenie naruszenia organowi nadzorczemu w ciągu 72 godzin oraz poinformowanie osób, których dane dotyczą, bez zbędnej zwłoki, chyba że na podstawie analiz stwierdzono, że naruszenie nie rodzi wysokiego ryzyka. Istotne jest prowadzenie rejestru naruszeń, w którym dokumentuje się okoliczności incydentu, jego skutki i podjęte działania.

  5. Zapewnienie niezależności Inspektora Ochrony Danych: Zgodnie z art. 38 ust. 6 RODO inspektor ochrony danych nie może podlegać instrukcjom dotyczącym wykonywania swoich zadań i nie powinien łączyć funkcji mogących powodować konflikt interesów. Wybierając IOD, organizacje powinny unikać wyznaczania osób pełniących funkcje kierownicze (np. prezesa czy członka zarządu) lub uczestniczących w podejmowaniu decyzji dotyczących celu i sposobu przetwarzania danych. Dane kontaktowe IOD trzeba opublikować w łatwo dostępnym miejscu (np. na stronie internetowej) i zgłosić je organowi nadzorczemu w ciągu 14 dni od wyznaczenia. Jeśli w organizacji nastąpi zmiana IOD, warto od razu sprawdzić listy mailingowe, stopki e‑mail i materiały informacyjne, by zapewnić aktualność informacji.

  6. Regularne audyty i przeglądy zgodności: Organizacja powinna przeprowadzać okresowe audyty wewnętrzne z udziałem IOD lub zewnętrznego audytora, obejmujące weryfikację przestrzegania zasady minimalizacji, bezpieczeństwa przetwarzania oraz skuteczności wdrożonych procedur. Audyty pomagają zidentyfikować luki w zabezpieczeniach oraz ocenić, czy dotychczasowe środki techniczne i organizacyjne są adekwatne. Wyniki audytów powinny być wykorzystywane do aktualizacji polityk i szkolenia personelu.

  7. Edukacja beneficjentów i transparentność: W kontaktach z beneficjentami i współpracownikami organizacje powinny klarownie informować o celu i zakresie przetwarzania danych, podstawach prawnych oraz przysługujących prawach. Transparentność buduje zaufanie i ułatwia realizację obowiązków informacyjnych. Ponadto, jeżeli w dokumentach zgromadzonych przez organizację znajdują się dane osobowe, powinny być one właściwie zabezpieczone i wykorzystywane wyłącznie w niezbędnym zakresie.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO