Urząd ds. Ochrony Danych Osobowych nałożył karę pieniężną w wysokości prawie 52 tys. złotych na spółdzielnię mieszkaniową. Powodem była brak zgłoszenia organowi nadzorczemu naruszenia związane z ochroną danych osobowych oraz niepoinformowanie osoby, której dane zostały naruszone. Dodatkowo, administratorowi nakazano powiadomienie o naruszeniu ochrony danych osobowych podmiotu, których te dane dotyczą.
Do UODO wpłynęła wiadomość od osoby trzeciej informująca, że udostępniono jej jako osobie nieuprawnionej informacje dotyczące członka spółdzielni mieszkaniowej.
Jak wykazano w postępowaniu przeprowadzonym z urzędu przed organem nadzorczym do zdarzenia doszło podczas konferencji prasowej, podczas której osobie nieuprawnionej administrator udostępnił informacje o sporze między nim a członkiem spółdzielni, w tym kserokopię zawiadomienia o podejrzeniu przestępstwa wraz z takimi danymi osobowymi, jak imię, nazwisko, numer PESEL oraz adres zamieszkania.
Sprawę tę administrator odnotował w wewnętrznym rejestrze naruszeń, a po analizie ryzyka naruszenia praw lub wolności, uznał je za niskie.
Każdy administrator w przypadku wystąpienia naruszenia ochrony danych osobowych jest zobowiązany w terminie 72 godzin od jego stwierdzenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >
Administrator dokonuje analizy ryzyka pod kątem wystąpienia naruszenia praw lub wolności osób fizycznych, a gdy przeprowadzona analiza wskazuje co najwyżej na małe prawdopodobieństwo wystąpienia ryzyka, administrator może zwolnić się z obowiązku powiadomienia organu nadzorczego o zdarzeniu i odnotować je w wewnętrznym rejestrze naruszeń. Należy wskazać, że analiza ta powinna brać pod uwagę wszelkie zagrożenia dla podmiotu danych, a nie interesy administratora. W tej konkretnie sprawie administrator, mimo udostępnienia dokumentu z danymi w postaci imienia, nazwiska, numeru PESEL i adresu zamieszkania, nie wykazał dokonania pogłębionej analizy, a przekazał organowi nadzorczemu w tym zakresie jedynie ogólny dokument nie odnoszący się do tego konkretnego przypadku. Zdaniem Urzędu, w tej sprawie nie wystąpiły czynniki obniżające poziom prawdopodobieństwa wystąpienia negatywnych skutków. Podmiotowi nieuprawnionemu udostępniono dokument zawierający dane osobowe członka spółdzielni. Nie jest istotne, czy osoba ta faktycznie dokonała czynów, o których mowa w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby doszło do potwierdzenia zasadności podnoszonych zarzutów, to nie oznacza, że osoba ta nie powinna podlegać ochronie.
Czytaj w LEX: Kiedy zgłaszać naruszenie przepisów o ochronie danych osobowych? >
W sytuacji gdy występuje wysokie ryzyko dla praw lub wolności osób fizycznych, administrator zobowiązany jest także o zdarzeniu powiadomić osobę, której dane objęto naruszeniem. Gdy ryzyko jest wysokie, konieczne jest powiadomienie podmiotu danych
W ocenie UODO, biorąc pod uwagę udostępnienie danych osobowych, administrator powinien zawiadomić podmiot danych o zaistniałym naruszeniu. Administrator powinien wskazać osobie, której dane dotyczą, wystąpienie ewentualnych negatywnych konsekwencji. Zestawienie takich danych, jak ujawniane imię, nazwisko czy numer PESEL jest wystarczające do podszycia się pod tę osobę i np. zaciągnięcia zobowiązań pieniężnych. Dlatego osoba pokrzywdzona powinna tym bardziej zostać poinformowana o zaistniałym naruszeniu. Mimo że negatywne konsekwencje się nie zmaterializowały, to ważna jest sama możliwość ich wystąpienia.