Organizacje pozarządowe odgrywają istotną rolę w realizacji zadań publicznych, co nierozerwalnie wiąże się z przetwarzaniem danych osobowych – często na bardzo dużą skalę. Jak jednak pokazuje praktyka, nawet najbardziej szlachetna misja nie zwalnia z rygorystycznych wymogów RODO, a niedopatrzenia w tym obszarze mogą mieć poważne konsekwencje.
Sprawa Fundacji Lumus to doskonały i zarazem niepokojący przykład tego, jak jeden problem rodzi kolejne. Decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) szczegółowo obrazuje, jak z pozoru drobne uchybienie przeradza się w całą serię naruszeń. Brak odpowiedniej anonimizacji doprowadził tu do nadmiarowego ujawnienia informacji, co z kolei spowodowało błędną ocenę ryzyka i ostatecznie – zaniechanie ustawowych obowiązków zgłoszeniowych.
Problem okazał się jednak znacznie głębszy. Organ nadzorczy, analizując ten przypadek, zwrócił również uwagę na niewłaściwą pozycję Inspektora Ochrony Danych (IOD) wewnątrz struktury fundacji.
Co najbardziej istotne, Prezes UODO wprost zaznacza, że opisana sytuacja nie jest wyłącznie odosobnionym incydentem. Fakt, że jeden błąd tak łatwo doprowadza do kolejnych, stanowi poważny problem dla całego sektora NGO współpracującego z administracją publiczną. Warto zatem przyjrzeć się bliżej tej decyzji, aby zrozumieć mechanizmy powstawania tego typu naruszeń i wyciągnąć wnioski, które pozwolą innym organizacjom uniknąć podobnego scenariusza.
Spis treści
Ujawnienie danych przy procedurze wpisu na listę NGO dla nieodpłatnej pomocy prawnej
Postępowanie zostało wszczęte z urzędu po sygnałach z terenowych organów administracji rządowej, do których trafiły dokumenty zawierające niezanonimizowane dane beneficjentów nieodpłatnej pomocy prawnej oraz dane współpracowników Fundacji. Materiały były składane jako załączniki do wniosków o wpis na listę organizacji uprawnionych do prowadzenia punktów nieodpłatnej pomocy prawnej i poradnictwa.
Sama procedura wpisu na listę jest uregulowana ustawowo, a listę prowadzi wojewoda. W decyzji Prezes UODO bardzo wyraźnie wskazał, że przepisy dot. dokumentowania spełniania warunków wpisu (art. 11d Ustawy o nieodpłatnej pomocy prawnej, nieodpłatnym poradnictwie obywatelskim oraz edukacji prawnej) nie wymagały ujawniania danych konkretnych beneficjentów ani tak szerokiego zakresu danych współpracowników – w tym sensie przekazanie danych było nadmiarowe.
Co dokładnie ujawniono?
UODO ustalił nieuprawnione ujawnienie danych 29 osób: 25 beneficjentów oraz 4 współpracowników. Zakres obejmował m.in. imię i nazwisko, PESEL, adres zamieszkania, numer telefonu, a w odniesieniu do beneficjentów także informacje o sytuacji życiowej, prawnej, a miejscami zdrowotnej. Chodzi o dane o wysokiej wrażliwości, a kontekst (korzystanie z pomocy prawnej) z definicji zwiększa ryzyko szkód: stygmatyzacji, presji, prób wyłudzeń.
Reakcja na naruszenie ochrony danych
Brak zgłoszenia do UODO w 72 godziny (art. 33 ust. 1 RODO)
Administrator uznał, że ryzyko jest „mało prawdopodobne”, bo dokumenty trafiły do instytucji publicznych i w formie papierowej. Organ tego stanowiska nie podzielił: sam fakt ujawnienia danych podmiotom nieuprawnionym, zwłaszcza przy danych wrażliwych i kontekście pomocy prawnej, co do zasady uruchamia obowiązek rzetelnej (obiektywnej) oceny ryzyka, a często także zgłoszenia.
W decyzji Prezes UODO szeroko wyjaśnia standard oceny ryzyka i akcentuje, że brak zmaterializowanej szkody nie zwalnia z obowiązków – liczy się rzeczywista możliwość negatywnych skutków dla osób.
Spóźnione zawiadomienie osób, których dane dotyczą (art. 34 ust. 1 RODO)
UODO uznał, że osoby powinny zostać poinformowane bez zbędnej zwłoki. W praktyce – jak wynika z decyzji – powiadomienia zostały wysłane dopiero po wystąpieniach organu (najpierw powiadomiono współpracowników, następnie beneficjentów), co organ ocenił jako spóźnione w świetle standardu z art. 34.
Niewłaściwe usytuowanie IOD w strukturach organizacji
RODO wymaga, aby administrator opublikował dane kontaktowe IOD i zawiadomił organ nadzorczy. W Polsce doprecyzowano termin zawiadomienia (14 dni) w ustawie z 10 maja 2018 r. o ochronie danych osobowych.
W tej sprawie zarzucono m.in. brak niezwłocznej publikacji danych kontaktowych IOD oraz brak terminowych zawiadomień o objęciu funkcji.
Konflikt interesów: IOD jako członek zarządu (art. 38 ust. 6 RODO)
UODO ustalił, że w określonym okresie funkcję IOD pełniła osoba będąca jednocześnie członkiem zarządu (i dodatkowo koordynatorem projektów), co organ zakwalifikował jako konflikt interesów – bo IOD nie może znajdować się w roli, w której współdecyduje o celach i sposobach przetwarzania, a następnie nadzoruje legalność tych decyzji.
Ile wyniosły kary za naruszenie przepisów RODO?
W decyzji DKN.5131.15.2025 wymieniono trzy administracyjne kary pieniężne (łącznie 22 920 zł) oraz upomnienie. Kara 6 700 zł dotyczyła naruszenia art. 33 ust. 1 RODO, czyli braku zgłoszenia naruszenia ochrony danych do Prezesa UODO w terminie 72 godzin od jego stwierdzenia. Za naruszenie art. 34 ust. 1 RODO – niezawiadomienie bez zbędnej zwłoki osób, których dane dotyczą – organ zastosował upomnienie. Kara 6 091 zł została nałożona za uchybienia związane z art. 37 ust. 7 RODO (w powiązaniu z przepisami Ustawy o ochronie danych osobowych z 10 maja 2018 r.), tj. brak niezwłocznej publikacji danych kontaktowych IOD oraz brak zawiadomienia UODO o wyznaczeniu IOD w ustawowym terminie 14 dni (w odniesieniu do dwóch wyznaczeń). Najwyższa kara – 9 137 zł – wynikała z naruszenia art. 38 ust. 6 RODO, ponieważ funkcję Inspektora Ochrony Danych pełniła osoba będąca jednocześnie członkiem zarządu i koordynatorem projektów, co organ uznał za konflikt interesów.
Podsumowanie
Decyzja Prezesa UODO w sprawie Fundacji Lumus potwierdza, że organizacje pozarządowe realizujące zadania publiczne podlegają pełnym standardom RODO, a uchybienia w zakresie minimalizacji danych, obsługi naruszeń oraz prawidłowego usytuowania IOD w strukturze organizacji mogą skutkować sankcjami administracyjnymi.
W konsekwencji nałożono administracyjne kary pieniężne w łącznej wysokości 22 920 zł oraz zastosowano upomnienie. Sprawa stanowi jednocześnie przypomnienie, że zgodność z RODO wymaga nie tylko dokumentacji, lecz także sprawnie działających procedur oraz niezależnego nadzoru nad przetwarzaniem danych.
