Przypomnijmy, że do Urzędu Ochrony Danych Osobowych wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie (zwanego dalej „PPIS w Gnieźnie”) z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.
Więcej na ten temat pod linkiem: https://uodo.gov.pl/pl/138/1499
UODO podjął działania w celu wyjaśnienia zaistniałej sytuacji. Wezwał administratora m.in. do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej pod kątem zagrożeń związanych z utratą ich poufności oraz do poinformowania jaki był wynik tej analizy.
Spółka w złożonych wyjaśnieniach oświadczyła m.in., że przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w Spółce oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych. Ponadto administrator wyraził pogląd, że otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną.
Po zapoznaniu się z całością zebranego materiału w tej sprawie, Urząd zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia. Na podstawie powyższych danych osobowych jest możliwa identyfikacja osób, których one dotyczą, a zatem administrator podlega obowiązkom wynikającym z RODO. UODO zważył również, że do naruszenia poufności przetwarzanych danych doszło w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.
W ocenie UODO, wskazane w analizie ryzyka środki zabezpieczające mają charakter sformułowań ogólnych i nie odnoszą się do konkretnych zdarzeń związanych z podejmowanymi przez upoważnionych pracowników czynnościami. Zapisy widniejące w analizie ryzyka, które w dużej mierze odnoszą się wyłącznie do podpisania przez pracowników stosownych oświadczeń i dokumentów są niewystarczające i nieadekwatne do ryzyk związanych z przetwarzaniem danych szczególnej kategorii, jakim są adresy zamieszkania osób znajdujących się na kwarantannie.
Ponadto w analizie ryzyka, administrator powinien uwzględnić zarówno szczególny charakter przetwarzanych danych, jak i czynnik ludzki, tj. m.in. lekkomyślność, niedbalstwo, czy brak należytej staranności, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych.
Organ nadzorczy zauważył także, że jednorazowa i pobieżna analiza, stanowi również o braku podejmowania przez administratora działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Spółka miała obowiązek zgłoszenia zaistniałego naruszenia Prezesowi UODO, czego jednak nie uczyniła.
Co więcej, w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą.
Ujawnienie nieuprawnionym odbiorcom danych osobowych dotyczących adresów zamieszkania oraz danych dotyczących stanu zdrowia bezsprzecznie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną. Mimo to Spółka nie zawiadomiła osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
W związku z takimi ustaleniami Prezes UODO, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych, udzielił spółce upomnienia oraz nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
Za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia, ale nie mające wpływu na jego treść, należy uznać podjęcie przez Spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.
Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/DKN.5101.25.2020