Na jednej z konferencji prasowych przedstawiciele spółdzielni mieszkaniowej przedstawili informacje dotyczące sporu między nią, a jednym z jej członków.
Ponieważ mieszkaniec rzekomo prowadził względem spółdzielni negatywną narrację w informacjach umieszczanych w lokalnych mediach i Internecie, ta postanowiła reagować na – jej zdaniem – bezpodstawne zarzuty. Chodziło o wysokość opłat za wodę, które nie spodobały się mieszkańcowi do tego stopnia, że zaczął on oczerniać spółdzielnię. Sęk w tym, że stawki opłat były niezależne od spółdzielni, więc ta poczuła się niesłusznie oskarżana. Chcąc położyć kres czarnemu marketingowi zarząd spółdzielni złożył zawiadomienie o podejrzeniu popełnienia przestępstwa przez owego członka. Kserokopię takiego dokumentu pokazano dziennikarzom podczas wspomnianej konferencji prasowej. Sęk w tym, że na zawiadomieniu widniało imię, nazwisko, numer PESEL oraz adres zamieszkania owego członka spółdzielni. Jeden z dziennikarzy obecnych w miejscu zdarzenia przekazał Prezesowi UODO informację o naruszeniu ochrony danych osobowych.
Próbując wybrnąć z kłopotliwej sytuacji spółdzielnia poinformowała Prezesa UODO o zarejestrowaniu tego wydarzenia i przeprowadzonej wewnętrznie analizie zdarzenia. W ocenie inspektora ochrony danych osobowych ryzyko naruszenia praw lub wolności osoby, której dane ujawniono, było niskie. Przedstawiciele spółdzielni twierdzili, że mężczyzna i tak już wcześniej udostępnił swoje dane osobowe w mediach i Internecie. Ponadto powoływali się także na rzetelność dziennikarzy obecnych na konferencji prasowej wskazując, że w obliczu prawa prasowego, udostępnione przez nich dane będą „bezpieczne”.
Prezes UODO stwierdził jednak, że analiza dokonana przez spółdzielnię nie była wystarczająca. Ustosunkowując się do wyjaśnień spółdzielni zauważył, iż: „w pierwszej kolejności wskazać należy, że w związku z przedmiotowym naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu zawierającego dane osobowe członkini Spółdzielni Mieszkaniowej, nie jest istotne to, czy osoba ta faktycznie dokonała czynów, o których mowa w złożonym przez Spółdzielnię zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby potwierdzono zasadność podnoszonych przez Administratora zarzutów wobec tej osoby, nie oznacza to, że jej dane osobowe nie powinny podlegać takiej samej ochronie, jak każdej innej osoby fizycznej w podobnej sytuacji. Z późniejszych wyjaśnień Spółdzielni Mieszkaniowej nie wynika, że Podmiot Danych sam udostępnił swoje dane osobowe znajdujące się w zawiadomieniu o podejrzeniu popełnienia przestępstwa, toteż nie można przyjąć, iż okoliczność taka mogłaby być w ogóle brana pod uwagę przy ocenie prawidłowości postępowania Administratora”.
Zdaniem Prezesa UODO, wysokość kary nałożonej na spółdzielnię (51 876 zł) została określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółdzielni Mieszkaniowej.
W ocenie Prezesa UODO, zastosowana kara pieniężna jest adekwatna ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych, a także proporcjonalna do sytuacji finansowej administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.
Warto podkreślić, że kwota nałożonej kary, to jedynie 0,11% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 euro) – nałożyć na spółdzielnię za stwierdzone w niniejszej sprawie naruszenia.
W ocenie Prezesa UODO zamieszczonej w uzasadnieniu do decyzji z 1.3.2023 r. (DKN.5131.49.2021): „administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółdzielnię Mieszkaniową przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółdzielnia Mieszkaniowa, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie”.
