UODO nałożył karę za ujawnienie nazwisk osób przebywających na kwarantannie

Wiadomo już, kto ujawnił dane osób przebywających na kwarantannie na początku pandemii COVID-19 w powiecie gnieźnieńskim. Prezes UODO po przeprowadzeniu postępowania w sprawie wydał 12 listopada br. decyzję stwierdzającą naruszenie ochrony danych osób objętych kwarantanną medyczną. Jakie działania musi teraz podjąć spółka odpowiedzialna za incydent?

UODO nałożył karę za ujawnienie nazwisk osób przebywających na kwarantannie

Dorota Kraskowska

27 listopada 2020

W kwietniu br. Państwowy Powiatowy Inspektora Sanitarny (PPIS) w Gnieźnie zawiadomił Urząd Ochrony Konkurencji i Konsumentów o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie oraz dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem COVID-19.

W zawiadomieniu PPIS tłumaczył, że przeprowadził czynności wyjaśniające w sprawie wycieku danych, z których wynika, że źródłem ujawnienia danych nie była Inspekcja Sanitarna w Gnieźnie. Listę osób objętych kwarantanną otrzymało wiele instytucji: Poczta Polska w Gnieźnie, Miejskie i Gminne Ośrodki Pomocy Społecznej działające na terenie powiatu, Komenda Powiatowa Policji, Komenda Straży Pożarnej. 

Czynności wyjaśniające w sprawie podjął Prezes UODO. Okoliczności wycieku sprawdziły również Komenda Powiatowa Policji i Prokuratura Rejonowa w Gnieźnie. 

Po przeanalizowaniu sprawy znalazł się winowajca — listę osób objętych kwarantanną ujawniła spółka zajmującą się gospodarką odpadami w Gnieźnie.

Po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez U. Sp. z o.o. w Gnieźnie, Prezes UODO stwierdził naruszenie następujących przepisów rozporządzenia RODO:

  • art. 5 ust. 1 lit. f (naruszenie zasady integralności i poufności przetwarzanych danych osobowych),

  • art. 24 ust. 1 (brak odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych),

  • art. 32 ust. 1 lit. d (brak regularnego testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych), 

  • art. 32 ust. 2 (brak uwzględnienia ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych),

  • art. 33 ust. 1 (niezgłoszenie naruszenia w odpowiednim terminie do organu nadzorczego),

  • art. 34 ust. 1 (niepowiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych).

Po zapoznaniu się z całością zebranego materiału w tej sprawie, UODO stwierdził, że:

  • Spółka nie dokonała właściwej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Zapisy widniejące w analizie ryzyka odnoszą się wyłącznie do podpisania przez pracowników stosownych oświadczeń i dokumentów są niewystarczające i nieadekwatne do ryzyk związanych z przetwarzaniem danych szczególnej kategorii — fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia. Do publicznej wiadomości został podany szeroki zakres informacje na temat osób przebywających na kwarantannie: nazwa miejscowości zamieszkania, ulica, numer posesji/lokalu, dane dotyczące stanu zdrowia. Taki zakres danych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne było w tym przypadku zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

  • Organ nadzorczy uznał, że przeprowadzona przez spółkę analiza ryzyka była jednorazowa i pobieżna, co świadczy o braku podejmowania przez administratora działań mających na celu zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania. W takiej analizie administrator powinien uwzględnić również ważne źródło ryzyka w procesie przetwarzania — czynnik ludzki, np. niedbalstwo, brak należytej staranności. Spółka w swojej analizie nie uwzględniła tego czynnika.

  • Administrator ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną nie przeprowadził wystarczającej analizy sposobu dystrybucji tych danych w wersji elektronicznej oraz papierowej pod kątem zagrożeń związanych z utratą ich poufności. W piśmie skierowanym do UODO administrator podał, że wykazy obejmowały jedynie adresy administracyjne (policyjne), a nie obejmowały imion, nazwiska i pozostałych danych pozwalających zidentyfikować osobę fizyczną. Tymczasem okazało się, że wykazy zawierały szczegółowe dane pozwalające na identyfikację osób. 

  • Mimo, że ujawnienie danych dotyczących adresów zamieszkania oraz danych dotyczących stanu zdrowia skutkuje wysokim ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną, to spółka nie zawiadomiła osób o naruszeniu ochrony danych osobowych. Administrator nie zawiadomił indywidualnie osób o naruszeniu ich danych, nie wydał żadnego publicznego komunikatu w tej sprawie i nie zastosował innych środków, aby w  skuteczny sposób poinformować zainteresowane osoby o naruszeniu.

  • Do naruszenia poufności przetwarzanych danych doszło podczas wykonywania obowiązków służbowych pracownika odpowiedzialnego za nadzór nad wydrukowanym, pozostawionym na biurku wykazem (bez odpowiedniego zabezpieczenia). W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.

  • Spółka nie zgłosiła naruszenia Prezesowi UODO. Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 

UODO rozstrzygając sprawę wziął również pod uwagę okoliczności łagodzące, za które uznał podjęcie przez spółkę działań dyscyplinujących wobec pracowników odpowiedzialnych zaistnienia naruszenie oraz zobowiązanie do przeprowadzenia szkoleń z ochrony danych osobowych dla pracowników.

Prezes UODO udzielił spółce upomnienia i nakazał w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna, przeprowadzenie następujących czynności:

  • zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazanie im informacji na temat charakteru tego naruszenia,

  • przekazanie osobom, których dane zostały ujawnione, kontaktu do inspektora ochrony danych, od którego można uzyskać więcej informacji,

  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,

  • opis zastosowanych przez administratora środków w celu zaradzenia naruszeniu oraz zminimalizowania jego ewentualnych negatywnych skutków.

W ocenie Prezesa UODO nałożone upomnienie ma również charakter prewencyjny, służący zapobieganiu naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez ukaraną spółkę, jak i innych administratorów danych.

Decyzja UODO jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ukarana spółka może wnieść skargi na tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia.

Na podstawie komunikatu UODO

Prywatne adresy polityków i sędziów na TwitterzePrywatne adresy polityków i sędziów na Twitterze Dorota Kraskowska

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!