Pierwsza kara za ujawnienie danych osób na kwarantannie

Sprawa została wszczęta z urzędu w następstwie informacji, która wpłynęła do Urzędu Ochrony Danych Osobowych od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie. Sanepid wskazał w niej, że doszło do publicznego ujawnieniu listy zawierającej dane adresowe

• osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju,
• osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.

W toku sprawy spółka złożyła wyjaśnienia, zgodnie z którymi przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy obowiązujących procedur oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych. W ocenie spółki otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), ale nie obejmowały imion, nazwisk i innych danych pozwalających zidentyfikować osobę fizyczną.

Z tym jednak nie zgodził się Prezes UODO, wskazując, że na listach znajdowały się informacje zawierające:

• nazwy miejscowości,
• nazwy ulicy,
• numery budynku/lokalu,
• poddanie osób kwarantannie medycznej.

Zdaniem organu nadzorczego te dane wystarczały do identyfikacji osób, których dotyczyły, a więc miały status danych osobowych. W konsekwencji doszło do naruszenia ich poufności - w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie bowiem inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.

UODO negatywnie ocenił również wskazane w analizie ryzyka środki bezpieczeństwa.

Prezes UODO wskazał też, że spółka nie podejmowała działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Na ukaranie wpływ miał także fakt, że spółka nie zgłosiła naruszenia Prezesowi UODO, do czego była zobligowana zgodnie z art. 33 ust. 1 RODO. Poza tym, spółka nie zawiadomiła o naruszeniu podmiotów danych, do czego była zobligowana w związku z wysokim naruszeniem praw lub wolności osób objętych kwarantanną.

Mimo tych naruszeń Prezes UODO ograniczył się do wymierzenia kary upomnienia. Zobligował też zawiadomienie podmiotów danych o naruszeniu danych. Dlaczego odstąpiono od wymierzenia kary pieniężnej? Jako okoliczność łagodzącą wskazano bowiem fakt podjęcia przez spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia a także fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.