Sprawa izolacji Prezesa TVP – czy doszło do naruszenia ochrony danych
Niedawno media donosiły o dość kontrowersyjnym wcześniejszym zwolnieniu z izolacji Prezesa TVP Jacka Kurskiego. W sprawę zaangażowali się pracownicy Sanepidu, sprawdzając w bazie EWP, w jaki sposób doszło do zwolnienia. Teraz zaś pracownicy zostali zobligowani do złożenia wyjaśnień w związku z możliwym przekroczeniem uprawnień. Czy w sprawie doszło do naruszenia ochrony danych? Poznaj komentarz eksperta.
Wszystko zależy od zakresu upoważnienia
Czego dotyczy wspomniana głośna medialnie sprawa? Otóż pracownicy Sanepidu mieli wykorzystywać udzielony im dostęp do danych osobowych niezgodnie z treścią upoważnienia. Nie chodzi tu więc o żadne przełamywanie zabezpieczeń, ale o naruszenie zakresu przedmiotowego upoważnienia.
Kluczową kwestią jest to, czy pracownik Sanepidu działał on w zakresie upoważnienia. Konieczne jest więc poznanie treści upoważnienia.
Przekroczenie zakresu upoważnienia naruszeniem ochrony danych
Administrator musi upoważnić do przetwarzania danych osobowych konkretne osoby pozostające w strukturach tego administratora danych osobowych. Jeżeli bowiem konkretna osoba ma przetwarzać dane osobowe, to powinna zostać do tego celu imiennie upoważniona. Chodzi tu o osobę, która jest:
- pracownikiem administratora
- inną osobą wewnątrz struktury administratora (np. w ramach umowy zlecenia).
Problem powstaje, gdy nie upoważniono danej osoby do przetwarzania danych, a mimo to doszło do przetwarzania przez nią tych danych. Wówczas administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej. Z tego tytułu naraża się na odpowiedzialność cywilną lub karną, a także na nałożenie administracyjnej kary pieniężnej.
Czy sprawę należało zgłosić do Prezesa UODO
We wspomnianym przypadku należy więc zbadać, czy konkretny pracownik działał w ramach upoważnienia. Będzie to badanie indywidualne w odniesieniu do każdego konkretnego pracownika i jego upoważnienia. Jeżeli zostanie potwierdzone naruszenie ochrony danych osobowych, to na administratorze spoczywa swoisty obowiązek „samodenuncjacji”. Zgodnie bowiem z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator zgłasza je do Prezesa UODO.
Zgłoszenie powinno być dokonane bez zbędnej zwłoki, ale nie później niż w ciągu 72 godzin od momentu dowiedzenia się o zdarzeniu. Zdarzenia nie zgłasza się jednak, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
