Duński organ właściwy do spraw ochrony danych osobowych (Datatilsynet) poinformował na swojej stronie internetowej, że doszło do naruszenia ochrony danych osobowych. Komunikat nie budziłby takiego zdziwienia, gdyby nie fakt, że podmiotem, który dopuścił się naruszenia jest sam organ nadzorczy. Z treści komunikatu wynika, że regulator w nieodpowiedni sposób usuwał dokumenty zawierające dane osobowe. Zamiast niszczyć je przy pomocy popularnej niszczarki do papieru, dokumentacja usuwana była tak samo, jak tradycyjna makulatura. Organ nadzorczy wdrożył już odpowiednie środki techniczne i organizacyjne oraz – stosownie do przepisów RODO – zawiadomił o naruszeniu ochrony danych osobowych… samego siebie.
Dane osobowe w koszu
Zgodnie z oświadczeniem opublikowanym na stronie internetowej duńskiego organu nadzorczego, na początku sierpnia br. stwierdził on naruszenie ochrony danych osobowych w swojej siedzibie w Valby. Z ustaleń regulatora wynika, że dokumenty zawierające poufne i wrażliwe informacje m.in. o obywatelach i pracownikach trafiały do określonego pojemnika, a następnie – w założeniu – miały zostać rozdrobnione. W rzeczywistości okazało się jednak, że były one utylizowane tak samo, jak zwykła makulatura. Oznacza to, że najpierw były one składowane przez urzędników, a następnie przekazywane – w niezmienionej formie – firmie zewnętrznej, która odbierała odpady i przekazywała je do recyklingu.
Regulator zapewnia, że nic nie wskazuje na to, że odpady papierowe zawierające dane osobowe wpadły w niepowołane ręce. Od połowy marca do połowy czerwca pracownicy urzędu pracowali zdalnie w związku z pandemią koronawirusa. Sytuacja ta – jak ocenia regulator – wpłynęła na zminimalizowanie dostrzeżonego problemu w tym okresie. Naruszenie miało miejsce w okresie od lutego br., kiedy organ nadzorczy przeniósł się do nowej siedziby w Valby, do sierpnia br.
Działania naprawcze
Duński organ nadzorczy wskazał w komunikacie, że od dnia stwierdzenia naruszenia dokumentacja papierowa niszczona jest w odpowiedni sposób. Regulator przeanalizował wszystkie procedury w tym zakresie i – jak zapewnia – zaostrzył je. Dodatkowo rozważa on powiadomienie o przedmiotowym naruszeniu osób, których dane dotyczą.
Co zabawne, stwierdzone naruszenie ochrony danych osobowych zostało zgłoszone przez organ nadzorczy do samego siebie. Niestety i w tym zakresie nie obyło się bez nieprawidłowości. Zostało ono bowiem dokonane po przekroczeniu – wynikającego z art. 33 RODO – 72 godzinnego terminu (jak wynika z komunikatu – opóźnienie wynosiło ok. 24 godziny). Regulator wskazał, że okoliczność ta jest niefortunna, a pracownik odpowiedzialny za dokonanie tej czynności został dodatkowo upomniany.
Wydaje się, że regulator – działając w tym przypadku jako administrator – nie powinien obawiać się negatywnych konsekwencji, w tym np. kary finansowej, ze strony duńskiego organu nadzorczego. Ciężko wyobrazić sobie bowiem, żeby ukarał samego siebie.
Powiadomienie osób, których dane dotyczą
Ze względu na zasadę ostrożności, duński organ postanowił zamieścić na swojej stronie internetowej informację skierowaną do osób, których dotyczyło zgłoszone naruszenie. Naruszenie dotyczyło osoby, których sprawy były prowadzone przez urząd lub, które kontaktowały się z organem do 6 sierpnia 2020 r. Urząd ponownie podkreślił, że w dalszym ciągu nic nie wskazuje by dane dostały się w niepowołane ręce czy wykorzystane w niewłaściwy sposób.
W komunikacie urząd poinformował również o konsekwencjach, które mogą ponieść osoby, których dotknęło naruszenie m.in. publikacja ich wrażliwych danych, kradzież tożsamości czy ataki phishing’owe. Urząd wskazał, że osoby powinny zachować ostrożność oraz mogą skorzystać z rad i informacji zawartych na rekomendowanych stronach internetowych.
Źródło:
