Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości niemal 52 tys. złotych na spółdzielnię mieszkaniową za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych oraz za niezawiadomienie o naruszeniu osoby, której dane dotyczą. Nakazał również administratorowi zawiadomienie o naruszeniu ochrony danych osobowych podmiotu tych danych.
Do UODO wpłynęła wiadomość od osoby trzeciej informująca, iż udostępniono jej jako osobie nieuprawnionej informacje dotyczące członka spółdzielni mieszkaniowej.
Jak wykazano w postępowaniu przeprowadzonym z urzędu przed organem nadzorczym do zdarzenia doszło podczas konferencji prasowej, podczas której osobie nieuprawnionej administrator udostępnił informacje o sporze między nim a członkiem spółdzielni, w tym kserokopię zawiadomienia o podejrzeniu przestępstwa wraz z takimi danymi osobowymi, jak imię, nazwisko, numer PESEL oraz adres zamieszkania.
Sprawę tę administrator odnotował w wewnętrznym rejestrze naruszeń, a po analizie ryzyka naruszenia praw lub wolności, uznał je za niskie.
Zgłoszenie naruszenia
Każdy administrator w przypadku wystąpienia naruszenia ochrony danych osobowych jest zobowiązany w terminie 72 godzin od jego stwierdzenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
Administrator dokonuje analizy ryzyka pod kątem wystąpienia naruszenia praw lub wolności osób fizycznych, a gdy przeprowadzona analiza wskazuje co najwyżej na małe prawdopodobieństwo wystąpienia ryzyka, administrator może zwolnić się z obowiązku powiadomienia organu nadzorczego o zdarzeniu i odnotować je w wewnętrznym rejestrze naruszeń. Należy wskazać, że analiza ta powinna brać pod uwagę wszelkie zagrożenia dla podmiotu danych, a nie interesy administratora. W przedmiotowej sprawie administrator, mimo udostępnienia dokumentu z danymi w postaci imienia, nazwiska, numeru PESEL i adresu zamieszkania, nie wykazał dokonania pogłębionej analizy, a przekazał organowi nadzorczemu w tym zakresie jedynie ogólny dokument nie odnoszący się do tego konkretnego przypadku. Zdaniem Urzędu, w tej sprawie nie wystąpiły czynniki obniżające poziom prawdopodobieństwa wystąpienia negatywnych skutków. Podmiotowi nieuprawnionemu udostępniono dokument zawierający dane osobowe członka spółdzielni. Nie jest istotne, czy osoba ta faktycznie dokonała czynów, o których mowa w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby doszło do potwierdzenia zasadności podnoszonych zarzutów, to nie oznacza, że osoba ta nie powinna podlegać ochronie.
W sytuacji gdy występuje wysokie ryzyko dla praw lub wolności osób fizycznych, administrator zobowiązany jest także o zdarzeniu powiadomić osobę, której dane objęto naruszeniem.
Gdy ryzyko jest wysokie, konieczne jest powiadomienie podmiotu danych
W ocenie UODO, biorąc pod uwagę udostępnienie danych osobowych, administrator powinien zawiadomić podmiot danych o zaistniałym naruszeniu.
Administrator powinien wskazać osobie, której dane dotyczą, wystąpienie ewentualnych negatywnych konsekwencji. Zestawienie takich danych, jak ujawniane imię, nazwisko czy numer PESEL jest wystarczające do podszycia się pod tę osobę i np. zaciągnięcia zobowiązań pieniężnych. Dlatego osoba pokrzywdzona powinna tym bardziej zostać poinformowana o zaistniałym naruszeniu. Mimo że negatywne konsekwencje się nie zmaterializowały, to ważna jest sama możliwość ich wystąpienia.