Prezes UODO: 20 000 zł kary dla Prokuratury Rejonowej za niezgłoszenie i niezawiadomienie o naruszeniu

Pewna Prokuratura Rejonowa miała świadomość naruszenia ochrony danych osobowych, lecz z pewnych powodów nie podjęła się zgłoszenia Prezesowi UODO takiego zdarzenia.

Prezesa UODO zawiadomiła, osoba trzecia wskazując, na:

możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej w G. z siedzibą w G. przy ul. (…), zwanej dalej także Administratorem, polegającego na przekazaniu w dniu (…) listopada 2020 r. lokalnemu dziennikarzowi przez Administratora, w ramach odpowiedzi na wniosek z (…) listopada 2020 r. złożony w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902), dokumentacji z zakończonego postępowania przygotowawczego (…).

Okazało się, że wśród osób “dotkniętych” naruszeniem jest Wój Gminy, a wskutek tego działania doszło do udostępnienia jego dane osobowe:

w postaci imienia i nazwiska, serii i numeru dowodu osobistego, numeru PESEL, adresu zamieszkania, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia;

oprócz danych ww. osoby udostępnione również zostały dane osobowe jego żony w zakresie jej imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o wynagrodzeniu oraz miejscu zatrudnienia. Ponadto, udostępniono informacje na temat małoletniego dziecka w zakresie imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o miejscu nauki oraz danych dotyczących zdrowia w postaci (…).

Zakres danych udostępnionych w odpowiedzi na ww. wniosek dotyczył także zarzucanych radnemu czynów, tj. podejrzenia popełnienia przestępstwa polegającego na złożeniu w Gminnym Ośrodku Pomocy Społecznej w Ł. nieprawdziwego oświadczenia o jego zarobkach i zarobkach jego żony w związku z toczącym się postępowaniem w sprawie ustalenia opłaty za pobyt jego syna w (…). Dokumenty udostępnione w ramach odpowiedzi na wniosek o udzielenie informacji publicznej nie zostały zanonimizowane.

Dziennikarz ten, niezwłocznie po otrzymaniu od Administratora kopii ww. dokumentów z akt postępowania przygotowawczego sygn.(…), opublikował je – anonimizując wcześniej dane osobowe – w lokalnym serwisie internetowym pod adresem (…).

W związku z powyższym, pismem z dnia (…) lipca 2021 r., Prezes UODO zwrócił się do Administratora o udzielenie informacji, czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dane dotyczą.

W odpowiedzi Administrator poinformował Prezesa UODO między innymi, że: „(w) odpowiedzi na pismo Z.Z. przekazano mu skany niektórych dokumentów z akt, z tym, iż istotnie nie dokonano ich anonimizacji. Informacje te przekazano tylko jednej osobie.

Newsletter

Następnie Z.Z. złożył do Prokuratury zawiadomienie o przestępstwie dot. nieuprawnionego ujawnienia niektórych danych osobowych Wójta Gminy Ł. przez zaniechanie anonimizacji tych danych.

Na podstawie decyzji Prokuratura Okręgowego w N. postępowanie w tej sprawie prowadziła Prokuratura Rejonowa w Z.

Postępowanie to, prowadzone pod kątem popełnienia czynu z art. 231 § 1 k.k., zakończyło się decyzją o odmowie wszczęcia śledztwa.

W odpowiedzi na pismo informujące o wszczęciu postępowania administracyjnego, Administrator poinformował Prezesa UODO, iż „(…) w sprawie tej tamtejszy Urząd zwracał się już do mnie pismem z (…).VII.2021r. sygn. (…).

Administrator nie odpowiedział na zadane pytania dotyczące zakresu danych osobowych udostępnionych nieuprawnionej osobie oraz liczby osób, których te dane dotyczą.

Według Prezesa UODO:

w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych trzech osób, w związku z przekazaniem przez Administratora, w ramach odpowiedzi na wniosek złożony w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902), niezanonimizowanej dokumentacji z zakończonego postępowania przygotowawczego o sygnaturze (…);

jak bowiem wskazał sam Administrator, lokalnemu dziennikarzowi „przekazano (…) skany niektórych dokumentów z akt, z tym, iż istotnie nie dokonano ich anonimizacji”. Naruszenie objęło swoim zakresem dane osobowe trzech osób (w tym dziecka). Udostępnione dane obejmują w szczególności imię i nazwisko, numer PESEL, datę urodzenia oraz stopień pokrewieństwa, a w przypadku dziecka także dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679 (dane o stanie zdrowia w postaci (…) i bez wątpienia pozwalają na bardzo łatwą identyfikację tych osób.

administrator nie przeprowadził oceny ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym naruszeniem ochrony danych osobowych opartej o obiektywne kryteria, a także nie wykazał zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

W zakresie obowiązku zgłoszenia organowi nadzorczemu takiego naruszenia:

bez znaczenia jest również fakt, iż dane zostały udostępnione jednej zidentyfikowanej osobie. Dane bowiem zostały udostępnione nieuprawnionej osobie, co oznacza że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych (obejmujący m.in. numer ewidencyjny PESEL) przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

udostępnienie danych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

jednocześnie Administrator nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że lokalny dziennikarz, któremu udostępniono niezanonimizowane dokumenty z akt postępowania przygotowawczego o sygn. (…), może zostać uznany za tzw. zaufanego odbiorcę.

w ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

W związku z powyższym Prezes UODO wskazał, że:

administracyjna kara pieniężna w wysokości 20 000 złotych, spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych;

jednocześnie wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją na administratora będącego jednostką sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, mieści się w określonym w art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych limicie 100 000 złotych.