Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę finansową na spółdzielnię mieszkaniową, tym razem w wysokości ok. 52 tysięcy złotych. Przedmiotowa kara została nałożona na administratora danych za brak zgłoszenia naruszenia ochrony danych osobowych oraz brak powiadomienia osób, których dotyczyło naruszenia.
Informację o sprawie Prezes Urzędu Ochrony Danych Osobowych powziął wskutek zgłoszenia złożonego przez osobę trzecią, której to udostępniono jako osobie nieuprawnionej zawiadomienia o możliwości popełnienia przestępstwa, ujawniające dane osobowe innej osoby w postaci: jej imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania osoby wskazanej w tym zawiadomieniu. Jako iż zgłoszenie dotyczyło możliwości naruszenia przepisów o ochronie danych osobowych, Prezes UODO wszczął postepowanie i zwrócił się do spółdzielni mieszkaniowej o wyjaśnienie. W odpowiedzi na wezwanie do złożenia wyjaśnień, Spółdzielnia udzieliła ich, wskazując, iż osoba, której dane znajdowały się w wymienionym zawiadomieniu, sama ujawniła swoje dane publicznie, poprzez wszczęcie, zdaniem Spółdzielni, negatywnej kampanii na ich temat. Ponadto Zarząd Spółdzielni, aby oczyścić się z zarzutów stawianych przez tę osobę, zwołał konferencję prasową, na której to mieli przedstawić prawdę i wyjaśnić kwestie negatywnych opinii. Podczas spotkania udostępnili oni dziennikarzom kserokopię, którą stanowiło zawiadomienie o podejrzeniu popełnienia przestępstwa, na których to nie zamazali oni danych osobowych. W związku z tym Inspektor Ochrony Danych odnotował tę czynność w Rejestrze Naruszeń i ocenił ją jako czynność o niskim ryzyku ujawnienia danych osobowych. Z powodu uznania stopnia ryzyka za niski, administrator postanowił, iż nie musi on zgłaszać naruszenia.
Obowiązek zgłoszenia naruszenia danych osobowych
Urząd Ochrony Danych Osobowych podkreślił, że nie każdy incydent bezpieczeństwa należy bezwzględnie zgłosić. Warto zaznaczyć, że obowiązek ten nie ma charakteru bezwzględnego. Jest to konieczne, gdy administrator danych, na podstawie przeprowadzonej wcześniej analizy ewentualnego wpływu naruszenia na prawa lub wolności osób fizycznych, stwierdzi, zgodnie z zasadą rozliczalności, że ryzyko dla praw lub wolności osób fizycznych, jest wyższe niż znikome. Zdaniem Urzędu Ochrony Danych Osobowych w opisywanej sprawie Administrator danych dokonał błędnej analizy, która miała wykazać niskie ryzyko ujawnienia danych. W uzasadnieniu do decyzji Urząd wskazał, że ryzyko naruszenia praw lub wolności było wysokie, z uwagi na m.in.: ujawnienie osobom trzecim numeru PESEL osoby wymienionej w zawiadomieniu. Wobec powyższego administrator danych był zobligowany do jego zgłoszenia.
Powiadomienie o naruszeniu daje możliwość przeciwdziałaniu jego skutkom osobom, których dane dotyczą
Spółdzielnia mieszkaniowa nie zawiadomiła osoby, której dane osobowe widniały na upublicznionym prasie zawiadomieniu jednocześnie wskazując, iż osoba ta sama ujawniła swoje dane pisząc niepochlebne komentarze na temat Spółdzielni. Zdaniem Prezesa UODO jednak w tej sprawie doszło do naruszenia. Administrator danych bowiem, poprzez brak przesłania zawiadomienia o zaistniałym naruszeniu, uniemożliwił osobie, której dane zostały naruszone, dokonania jakichkolwiek czynności, które mogłyby przeciwdziałać jego skutkom. W przypadku wysokiego ryzyka naruszenia ochrony praw i wolności, z jakim niewątpliwie mamy w tej sytuacji do czynienia, Administrator ma obowiązek powiadomienia osób, o powstałym naruszeniu. Osoba wymieniona w zawiadomieniu nie została zaś w żaden sposób powiadomiona. Urząd powziął informacje o ujawnieniu jej danych od osoby trzeciej, co dodatkowo działało niekorzystnie dla Administratora. Zawiadomiła ona bowiem Urząd korespondencyjnie. Natomiast, warto podkreślić, iż administrator danych powinien zwrócić się do osób, których bezpieczeństwo przetwarzanych przez niego danych zostało naruszone, poprzez pisemne zawiadomienie. Urząd w swojej decyzji nakazał wspólnocie mieszkaniowej zawiadomić prawidłowo o naruszeniu osobę, których dane dotyczą.
Komentarz Auraco
Opisana sprawa w tym przypadku pokazuje, że nie można bagatelizować incydentów bezpieczeństwa oraz zdarzeń istotnych z punktu widzenia ochrony danych osobowych. Zaniechanie zgłoszenia naruszenia przez administratora danych, może wiązać się z nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych kary finansowej. Istotnym jest również fakt, iż wysokie ryzyko naruszenia ochrony praw i wolności, wiąże się z obowiązkiem zawiadomienia osób, których dane osobowe zostały zagrożone. Dodatkowo w opisanej powyżej sytuacji na niekorzyść Administratora działał fakt, iż zgłoszenie zostało złożone przez osobę trzecią, której ujawniono dane bez podstawy prawnej. Są to niezwykle istotne elementy, na które Prezes UODO zwraca szczególną uwagę podczas rozstrzygania o ewentualnym nałożeniu na podmiot kary.