Kara upomnienia za ujawnienie listy osób, które są na kwarantannie

Przypomnijmy, że do Urzędu Ochrony Danych Osobowych wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie (zwanego dalej „PPIS w Gnieźnie”) z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.

Więcej na ten temat pod linkiem: https://uodo.gov.pl/pl/138/1499

UODO podjął działania w celu wyjaśnienia zaistniałej sytuacji. Wezwał administratora m.in. do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej pod kątem zagrożeń związanych z utratą ich poufności oraz do poinformowania jaki był wynik tej analizy.

Spółka w złożonych wyjaśnieniach oświadczyła m.in., że przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w Spółce oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych. Ponadto administrator wyraził pogląd, że otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną.

Po zapoznaniu się z całością zebranego materiału w tej sprawie, Urząd zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia. Na podstawie powyższych danych osobowych jest możliwa identyfikacja osób, których one dotyczą, a zatem administrator podlega obowiązkom wynikającym z RODO. UODO zważył również, że do naruszenia poufności przetwarzanych danych doszło w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.

W ocenie UODO, wskazane w analizie ryzyka środki zabezpieczające mają charakter sformułowań ogólnych i nie odnoszą się do konkretnych zdarzeń związanych z podejmowanymi przez upoważnionych pracowników czynnościami. Zapisy widniejące w analizie ryzyka, które w dużej mierze odnoszą się wyłącznie do podpisania przez pracowników stosownych oświadczeń i dokumentów są niewystarczające i nieadekwatne do ryzyk związanych z przetwarzaniem danych szczególnej kategorii, jakim są adresy zamieszkania osób znajdujących się na kwarantannie.

Ponadto w analizie ryzyka, administrator powinien uwzględnić zarówno szczególny charakter przetwarzanych danych, jak i czynnik ludzki, tj. m.in. lekkomyślność, niedbalstwo, czy brak należytej staranności, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych.

Organ nadzorczy zauważył także, że jednorazowa i pobieżna analiza, stanowi również o braku podejmowania przez administratora działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Spółka miała obowiązek zgłoszenia zaistniałego naruszenia Prezesowi UODO, czego jednak nie uczyniła.

Co więcej, w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą.

Ujawnienie nieuprawnionym odbiorcom danych osobowych dotyczących adresów zamieszkania oraz danych dotyczących stanu zdrowia bezsprzecznie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną. Mimo to Spółka nie zawiadomiła osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Ważne

W związku z takimi ustaleniami Prezes UODO, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych, udzielił spółce upomnienia oraz nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia, ale nie mające wpływu na jego treść, należy uznać podjęcie przez Spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/DKN.5101.25.2020




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywtności