Urząd Ochrony Danych Osobowych w swojej najnowszej decyzji nałożył kolejną administracyjną karę pieniężną za brak zgłoszenia naruszenia oraz brak zawiadomienia osoby, której dane dotyczą. Podobnie jak wcześniej spółdzielnia mieszkaniowa, tym razem to Prokuratura Rejonowa nie dopełniła tego obowiązku. Urząd nałożył na ten organ karę w wysokości 20 tys. zł.
Okoliczności naruszenia
Prokuratura w ramach odpowiedzi na wniosek o dostęp do informacji publicznej, przekazała lokalnemu dziennikarzowi akta zakończonego postępowania, które jednak nie były zanonimizowane. W aktach znajdował się szereg szczegółowych danych osobowych takich jak: numer dowodu osobistego, PESEL, adres zamieszkania. Ponadto w dokumentach znajdowały się dane również żony osoby, której dane wyciekły jak również jego dziecka, w tym o stanie zdrowia.
Na szczęście dziennikarz przed opublikowaniem akt w lokalnym serwisie internetowym, dokonał anonimizacji danych osobowych. Sam dziennikarz następnie złożył do prokuratury zawiadomienie o przestępstwie dotyczącym nieuprawnionego ujawnienia niektórych danych osobowych. Samo postępowanie zakończyło się odmową wszczęcia śledztwa. Prokuratura, która była źródłem zdarzenia, uznała także, że nie ma konieczności zawiadomienia Prezesa UODO. Prezes UODO wszczął jednak postępowanie w tej sprawie kilka miesięcy po wystąpieniu incydentu, po powzięciu informacji o zdarzeniu.
Postępowanie
W swojej decyzji Prezes UODO wskazywał, że przy udostępnieniu dokumentacji w trybie dostępu do informacji publicznej, muszą być zachowane zasady ochrony danych osobowych. Wskazano, że mimo ewidentnej kwalifikacji tego incydentu jako naruszenia ochrony danych osobowych, błędnie uznano, że skoro odmówiono wszczęcia śledztwa to nie doszło zatem i do naruszenia. Ponadto sama prokuratura nie przedstawiła żadnej analizy ryzyka, której wynik wskazywałby, że nie należy zgłaszać tego naruszenia. Prezes UODO zauważył, że prokuratura w swoich rozważaniach błędnie oparła się na przepisach prawa karnego, zamiast na przepisach RODO, przy ocenie, czy doszło do naruszenia.
Wysokie ryzyko
UODO podkreślał, że ze względu na rozległy charakter danych, które zostały ujawnione, należy stwierdzić, że zaistniało wysokie ryzyko naruszenia praw i wolności osób. Ponadto jak wskazuje UODO w swoim komunikacie:
„Brak zawiadomienia osoby fizycznej o naruszeniu w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej doniosłe konsekwencje.”
Co znamienne UODO po raz kolejny w swojej decyzji przedstawił szereg argumentów i wyroków wskazujących, że wyciek numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Ponadto wskazano, że dla zgłoszenia naruszenia nie ma znaczenia czy ryzyko naruszenia praw lub wolności osób fizycznych się zmaterializowało. Podobnie oceniono fakt, że wyciekły dane tylko do jednej osoby. UODO podkreślił, że:
„Udostępnienie danych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą”
Nakładając na prokuraturę administracyjną karę pieniężną w wysokości 20 tys. zł Prezes UODO stwierdził, naruszenie art. 33 ust. 1 i art. 34 ust. 1 RODO.
Zgłaszanie naruszeń
Sprawa ta jest kolejną, w której administrator nie dokonał zgłoszenia naruszenia, mimo ciążącego na nim obowiązku. Jest to też potwierdzenie twardego stanowiska UODO, zgodnie z którym zgłaszanie naruszeń ochrony danych osobowych nie może być pomijane, a naruszanie tego wymogu może być źródłem dotkliwych kar pieniężnych. Na kanwie tej sprawy widać również, że brak wymaganej dokumentacji, w której odnotowano i oceniono incydent działa na niekorzyść weryfikowanego podmiotu.
Źródła:
https://www.uodo.gov.pl/decyzje/DKN.5131.45.2022
https://uodo.gov.pl/pl/138/2704