Czego dotyczyło naruszenie?
Naruszenie polegało na niezgłoszeniu naruszenia Prezesowi UODO i niepoinformowaniu osoby dotkniętej naruszeniem o tym naruszeniu. Przypomnę, że obowiązek taki występuje wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem. Przeciwnie do oceny ukaranej Spółdzielni Mieszkaniowej, zdaniem Prezesa UODO opisywana sytuacja stanowiła właśnie takie naruszenie.
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 51.876 zł.
Dlaczego została nałożona kara?
Prezes UODO nałożył na Spółdzielnię Mieszkaniową karę w związku z nieuprawnionym udostępnieniem danych osobowych przez Zarząd Spółdzielni. Konkretnie chodziło o dane zawarte w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Danymi, które zostały przekazane były imię, nazwisko, numer ewidencyjny PESEL i adres zamieszkania osoby, której ono dotyczyło.
Do zdarzenia doszło w związku z konferencją prasową, a osobą trzecią, która dane uzyskała była osoba zawodowo związana z mediami informacyjnymi. To ona zgłosiła sprawę do UODO.
Naruszenie ochrony danych osobowych zostało przez Spółdzielnię odnotowane i ocenione jako niskiej wagi. Spółdzielnia uzasadniła tę ocenę związaniem osób, które weszły w posiadanie tych informacji zasadami wykonywania zawodu dziennikarza określonymi w Prawie prasowym. Z oceną tą nie zgodził się Prezes UODO, przywołując w decyzji przykłady nieuprawnionego wykorzystania danych osobowych, których dotyczy naruszenie. Zdaniem Prezesa UODO doszło do wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.
W związku z powyższym Spółdzielnia powinna zgłosić naruszenie Prezesowi UODO w terminie 72 godzin od jego stwierdzenia. Powinna również poinformować o nim osobę fizyczną, której dotyczyło i wskazać możliwe negatywne skutki oraz sposoby uchronienia się przed nimi.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – zdarzenie powoduje potencjalnie wysokie ryzyko z uwagi na zakres ujawnionych danych, których wykorzystanie może skutkować szkodą materialną lub niematerialną, a jego niezgłoszenie organowi nadzorczemu i niezawiadomienie osoby nim dotkniętej ogranicza jej możliwość ochrony interesów;
- umyślny charakter naruszenia – Prezes UODO uznał zdarzenie za umyślne, ponieważ Spółdzielnia podjęła świadomą decyzję o niezgłoszeniu naruszenia;
- stopień współpracy z organem nadzorczym – Prezes UODO uznał stopień współpracy za niezadowalający, ponieważ Spółdzielnia mimo wszczęcia postępowania w sprawie nie podjęła wymaganych przez UODO kroków;
- kategorie danych osobowych, których dotyczyło naruszenie – zakres danych obejmował imię, nazwisko, PESEL i adres zamieszkania, które to dane mogą zostać wykorzystane w celu podszycia się pod osobę fizyczną lub kradzieży tożsamości.
Okolicznościami łagodzącymi były:
- Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących.
Na decyzję Prezesa UODO nie miały wpływu:
- działania podjęte przez Spółdzielnię w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – Prezes UODO nie stwierdził takich działań;
- stopień odpowiedzialności Spółdzielni z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 – zdarzenie dotyczy kwestii realizacji obowiązków prawnych administratora, a nie zabezpieczeń;
- stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Sąd – Prezes UODO nie stwierdził wcześniejszych naruszeń dokonanych przez administratora;
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu – Prezes UODO został poinformowany o zdarzeniu przez osobę trzecią;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 – organ nadzorczy nie zastosował wcześniej żadnych środków względem administratora;
- stosowanie kodeksów zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – administrator nie wykorzystuje takich mechanizmów;
- osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – administrator nie uzyskał korzyści, ani nie uniknął strat w wyniku zdarzenia.
Wnioski?
- Oceniając wagę naruszenia należy brać pod uwagę interesy dotkniętej nim osoby, a nie administratora.
- Poinformowanie osoby dotkniętej naruszeniem o tym naruszeniu stanowi nie tylko obowiązek prawny, ale przede wszystkim daje jej możliwość podjęcia działań niezbędnych do zabezpieczenia interesów.
- Kolejny raz sprawa dotyczy numeru ewidencyjnego PESEL i możliwości jego zastosowania w celu zaciągnięcia kredytu. Tym bardziej więc oczekuję na przepisy umożliwiające jego zablokowanie. Ciekawi mnie przy tym, czy taka możliwość wpłynie na sposób oceny potencjalnego ryzyka przez organ nadzorczy.
Link do decyzji: KLIK!