W związku z udostępnieniem nieuprawnionym odbiorcom listy z adresami zamieszkania osób objętych kwarantanną na spółkę zajmującą się gospodarką odpadami nałożona została kara upomnienia.
Sprawa została wszczęta z urzędu w następstwie informacji, która wpłynęła do Urzędu Ochrony Danych Osobowych od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie. Sanepid wskazał w niej, że doszło do publicznego ujawnieniu listy zawierającej dane adresowe
W toku sprawy spółka złożyła wyjaśnienia, zgodnie z którymi przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy obowiązujących procedur oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych. W ocenie spółki otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), ale nie obejmowały imion, nazwisk i innych danych pozwalających zidentyfikować osobę fizyczną.
Z tym jednak nie zgodził się Prezes UODO, wskazując, że na listach znajdowały się informacje zawierające:
Zdaniem organu nadzorczego te dane wystarczały do identyfikacji osób, których dotyczyły, a więc miały status danych osobowych. W konsekwencji doszło do naruszenia ich poufności - w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie bowiem inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.
UODO negatywnie ocenił również wskazane w analizie ryzyka środki bezpieczeństwa.
Środki bezpieczeństwa zostały ujęte zbyt ogólnie i nie odnosiły się do konkretnych zdarzeń związanych z podejmowanymi przez upoważnionych pracowników czynnościami. Pomijają też takie kwestie, jak czynnik ludzki, m.in. lekkomyślność, niedbalstwo, czy brak należytej staranności, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych.
Prezes UODO wskazał też, że spółka nie podejmowała działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Na ukaranie wpływ miał także fakt, że spółka nie zgłosiła naruszenia Prezesowi UODO, do czego była zobligowana zgodnie z art. 33 ust. 1 RODO. Poza tym, spółka nie zawiadomiła o naruszeniu podmiotów danych, do czego była zobligowana w związku z wysokim naruszeniem praw lub wolności osób objętych kwarantanną.
Mimo tych naruszeń Prezes UODO ograniczył się do wymierzenia kary upomnienia. Zobligował też zawiadomienie podmiotów danych o naruszeniu danych. Dlaczego odstąpiono od wymierzenia kary pieniężnej? Jako okoliczność łagodzącą wskazano bowiem fakt podjęcia przez spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia a także fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
