Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował o ukaraniu komornika sądowego karą w łącznej wysokości prawie 21 tysięcy złotych. Kara została nałożona w związku z niezgłoszeniem naruszenia do organu nadzorczego (7700 zł) oraz niepoinformowaniem o naruszeniu osoby, której dane dotyczyły (13 200 zł). Co ciekawe, przy okazji tej sprawy, regulator podkreślił, jak należy rozumieć pojęcie „mało prawdopodobnego ryzyka”. Odpowiednie zrozumienie tego pojęcia ma kluczowe znaczenie dla podjęcia decyzji przez administratora o zgłoszeniu bądź odstąpieniu od zgłoszenia naruszenia do organu nadzorczego.
Błędny odbiorca pisma
Kara jest pokłosiem pomyłki popełnionej przez komornika sądowego, który wysłał zawiadomienie o zajęciu wynagrodzenia do niewłaściwej osoby. Błędnie zaadresowane pismo zawierało, m.in. imię, nazwisko, numer PESEL, czy też adres i kwotę zajęcia komorniczego. Odbiorca przesyłki poinformował o sytuacji Prezesa UODO, który zdecydował się wszcząć postępowanie w tej sprawie. Ta sama osoba poinformowała o incydencie komornika, który jednak nie podjął wymaganych prawem działań. Uznał on bowiem, że w zakresie tego zdarzenia zaszło „małe prawdopodobieństwo” wystąpienia ryzyka naruszenia praw lub wolności osoby, której dane dotyczyły. Organ nadzorczy nie zgodził się z tym stanowiskiem i ukarał administratora karą opiewającą na niemal 21 tysięcy złotych za brak zgłoszenia naruszenia i niepoinformowanie o nim osoby, której dane dotyczą.
Brak analizy ryzyka
Prezes UODO wskazał, że w tej sprawie administrator nie miał podstaw do uznania, że naruszenie wiązało się z małym prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotu danych. Administrator bowiem w ogóle nie przeprowadził analizy ryzyka związanego z tym naruszeniem. Komornik miał wyjaśnić regulatorowi w toku postępowania, że odstąpił od zgłoszenia naruszenia, gdyż był to przypadek jednostkowy, a reakcja osoby, która błędnie otrzymała dane osobowe wskazywała, że z powagą traktuje ona kwestię ochrony danych osobowych. Okoliczności te – zdaniem administratora – wskazywały, że istnieje małe prawdopodobieństwo, że zdarzenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby, której dane dotyczyły. Organ nadzorczy podkreślił jednak, że analiza w tym zakresie powinna zostać wykonana przed podjęciem decyzji o odstąpieniu od zgłoszenia naruszenia do organu nadzorczego.
Kolejne kary Prezesa UODO za brak zgłoszenia naruszenia ochrony danych!
Małe prawdopodobieństwo ryzyka
Zarówno decyzja, jak i komunikat prasowy organu nadzorczego zawierają wiele wskazówek dotyczących tego, jak organ nadzorczy rozumie pojęcie mało prawdopodobnego ryzyka. Prezes UODO zwrócił uwagę, że w ocenianej sprawie naruszenie groziło poważnymi konsekwencjami. Wśród danych objętych naruszeniem znajdował się bowiem numer PESEL, co w ocenie regulatora oznacza, że dane te mogły zostać wykorzystane do oszustwa finansowego. Organ nadzorczy zwrócił uwagę, że punktem wyjścia do oceny ryzyka powinna być perspektywa osoby dotkniętej naruszeniem i wskazał, że ryzyko jest wypadkową dwóch czynników: prawdopodobieństwa wystąpienia negatywnych skutków i wagi tych potencjalnych skutków dla praw lub wolności osób fizycznych. Prezes UODO zaznaczył, że wysoki poziom któregokolwiek z tych czynników, będzie miał wpływ na wysokość ogólnej oceny.
Podobnie jak w poradniku z początku tego roku, regulator wskazał, że „małe prawdopodobieństwo” wystąpienia ryzyka powinno być oceniane jako de facto brak takiego ryzyka. Administrator powinien więc wykazać w konkretnej sprawie, że brak jest realnych szans na zmaterializowanie się negatywnych skutków dla osoby, której dane dotyczą. Prezes UODO odwołał się w tym zakresie do anglojęzycznego brzmienia RODO, która posługuję się terminem unlikely. Zdaniem regulatora, termin ten służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwe lub niemal niemożliwe.
