Pierwsza kara za ujawnienie danych osób na kwarantannie

Dodano: 23 listopada 2020
Pierwsza kara za ujawnienie danych osób na kwarantannie

W związku z udostępnieniem nieuprawnionym odbiorcom listy z adresami zamieszkania osób objętych kwarantanną na spółkę zajmującą się gospodarką odpadami nałożona została kara upomnienia.

Przebieg sprawy

Sprawa została wszczęta z urzędu w następstwie informacji, która wpłynęła do Urzędu Ochrony Danych Osobowych od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie. Sanepid wskazał w niej, że doszło do publicznego ujawnieniu listy zawierającej dane adresowe

  • osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju,
  • osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.

W toku sprawy spółka złożyła wyjaśnienia, zgodnie z którymi przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy obowiązujących procedur oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych. W ocenie spółki otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), ale nie obejmowały imion, nazwisk i innych danych pozwalających zidentyfikować osobę fizyczną.

Jakie dane zostały udostępnione

Z tym jednak nie zgodził się Prezes UODO, wskazując, że na listach znajdowały się informacje zawierające:

  • nazwy miejscowości,
  • nazwy ulicy,
  • numery budynku/lokalu,
  • poddanie osób kwarantannie medycznej.

Zdaniem organu nadzorczego te dane wystarczały do identyfikacji osób, których dotyczyły, a więc miały status danych osobowych. W konsekwencji doszło do naruszenia ich poufności - w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie bowiem inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.

Niedostateczne zabezpieczenia i błędy w analizie ryzyka

UODO negatywnie ocenił również wskazane w analizie ryzyka środki bezpieczeństwa.

Uwaga

Środki bezpieczeństwa zostały ujęte zbyt ogólnie i nie odnosiły się do konkretnych zdarzeń związanych z podejmowanymi przez upoważnionych pracowników czynnościami. Pomijają też takie kwestie, jak czynnik ludzki, m.in. lekkomyślność, niedbalstwo, czy brak należytej staranności, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych.

Prezes UODO wskazał też, że spółka nie podejmowała działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Naruszenie nie zostało zgłoszone

Na ukaranie wpływ miał także fakt, że spółka nie zgłosiła naruszenia Prezesowi UODO, do czego była zobligowana zgodnie z art. 33 ust. 1 RODO. Poza tym, spółka nie zawiadomiła o naruszeniu podmiotów danych, do czego była zobligowana w związku z wysokim naruszeniem praw lub wolności osób objętych kwarantanną.

Obyło się bez kary pieniężnej

Mimo tych naruszeń Prezes UODO ograniczył się do wymierzenia kary upomnienia. Zobligował też zawiadomienie podmiotów danych o naruszeniu danych. Dlaczego odstąpiono od wymierzenia kary pieniężnej? Jako okoliczność łagodzącą wskazano bowiem fakt podjęcia przez spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia a także fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników.

Źródło:
  • Strona internetowa UODO (uodo.gov.pl).

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel