Prezes UODO nałożył 10.913 zł administracyjnej kary pieniężnej na Komitet Inicjatywy Ustawodawczej „Stop LGBT”.
Kara została nałożona za to, w jaki sposób Komitet prowadził zbiórkę podpisów pod listami. Listy z podpisami pod projektem zakazującym zgromadzeń w sprawie praw osób LGBT leżały niezabezpieczone w kościele i każdy mógł mieć do nich wgląd.
Jak wskazano, w jednym z kościołów listy „leżały sobie spokojnie na ołtarzach bocznych, a w tygodniu na stoliku z prasą katolicką pod chórem. (…) Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła”.
Na listach oprócz imion i nazwisk były również adresy zamieszkania oraz numery PESEL. Co więcej, podpisanie się na liście tak naprawdę skutkuje ujawnieniem danych szczególnej kategorii, tj. danych dotyczących konkretnego światopoglądu (przynależności do danej religii). Z uwagi na udostępnienie do powszechnego wglądu numeru PESEL oraz danych szczególnej kategorii, ryzyko jest tym większe.
Jak wskazał Prezes UODO, administrator miał przeprowadzić pewną ocenę ryzyka, ale istotne ryzyka uznał za mało ważne. Szczególnie rzucający się w oczy był brak nadzoru nad samymi listami i ich całkowity dostęp dla szerokiego grona osób. Administrator dokonał tylko analizy ryzyka utraty lub zniszczenia list, a zatem badał sprawę ze swojego punktu widzenia. Nie wziął pod uwagę praw osób, których dane dotyczą, a także faktu, że dane były dostępne dla innych podpisujących się pod inicjatywą, a także dla osób postronnych w lokalnej wspólnocie.
Administrator potwierdził, że opisana sytuacja miała miejsce, ale w jego ocenie do naruszenia przepisów RODO nie doszło. Postępowanie przeprowadzone przez Prezesa UODO wykazało jednak naruszenie wielu przepisów RODO, w tym tych, które odnoszą się do kwestii bezpieczeństwa danych osobowych.
W decyzji PUODO wskazano ponadto, w jaki sposób zbierać poprawnie podpisy pod obywatelskimi projektami ustaw. Samo RODO nie zawiera listy zaleceń technicznych dla takich przypadków. Rozporządzenie wskazuje jednak, co brać pod uwagę, by poprawnie chronić powierzone dane, szczególnie te wrażliwe.
Osoby zbierające podpisy muszą dbać o odpowiednie zabezpieczenie danych. Konieczny jest stały nadzór nad zebranymi już danymi i chronienie ich przed kolejnymi osobami składającymi podpisy przez zakrywanie tej części listy, która jest już wypełniona danymi osobowymi. Niedopuszczalne jest pozostawienia takich list bez nadzoru.