Ustalenia faktyczne
Fundacja jest organizacją pożytku publicznego, zajmującą się udzielaniem pomocy prawnej oraz porad prawnych i psychologicznych osobom pokrzywdzonym w wyniku przestępstwa oraz ich rodzinom. Działa na rzecz ochrony praw osób pokrzywdzonych przez instytucje publiczne, publiczny system ochrony zdrowia oraz podmioty działające w branży ubezpieczeniowej, a także promowanie mediacji w szeroko rozumianym obrocie prawnym i gospodarczym oraz życiu społecznym.
Do Urzędu Ochrony Danych Osobowych (dalej: UODO) w październiku 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację polegającego na utracie danych osobowych wielu osób, jaka miała miejsce w styczniu 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów w mazowieckim biurze terenowym.
Jak wynika z zawiadomienia, kradzież była przedmiotem postępowania karnego niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa, nie zaś utraty dokumentów zawierających dane osobowe. O podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych organ nadzorczy został poinformowany pismem z października 2020 r. przez Ministerstwo Sprawiedliwości będące organem sprawującym nadzór nad Fundacją.
W związku z powyższym, w listopadzie 2020 r. Prezesem UODO, na podstawie art. 58 ust. 1 lit. a i e RODO, zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu, a w przypadku odpowiedzi przeczącej poproszono o przesłanie przeprowadzonej analizy przedmiotowego naruszenia, a także o udzielenie informacji, czy został wyznaczony inspektor ochrony danych, a jeżeli tak, to czy administrator konsultował z inspektorem ochrony danych możliwość zgłoszenia naruszenia organowi nadzorczemu.
W odpowiedzi na powyższe, Fundacja stwierdziła, iż nie zgłaszała organowi nadzorczemu naruszenia i nie ma wyznaczonego w swojej organizacji inspektora ochrony danych. Ponadto Fundacja wskazała, że dokonana analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO.
Prezes UODO wszczął wobec Fundacji postępowanie administracyjne i wezwał do udzielenia dodatkowych informacji: gdzie konkretnie znajdowały się teczki z danymi osobowymi, czy w przypadku niezabezpieczenia dokumentacji zgodnie z przyjętymi w organizacji zasadami, ustalono osoby odpowiedzialne za naruszenie, czy jest opracowana i wdrożona polityka bezpieczeństwa, a jeżeli tak, to w jaki sposób administrator monitoruje przestrzeganie tych zasad przez pracowników, czy w dniu kradzieży dokumentów zawierających dane osobowe zabezpieczenia były sprawne/działające, użyte zgodnie ze swoim przeznaczeniem (drzwi wejściowe oraz do pozostałych pomieszczeń zamknięte na klucz), uruchomione (monitoring, alarm), jakie przepisy regulują okres przechowywania lub też jego brak, akt osobowych osób, które korzystały z pomocy Fundacji, ewentualnie jakie zostały ustalone przez administratora kryteria okresu przechowywania danych osobowych, jakie obywatelstwo posiadały osoby, niemające numeru ewidencyjnego PESEL, których dane zostały utracone oraz zwrócono się o przesłanie analizy naruszenia uwzględniającej wszelkie kryteria wzięte przez administratora pod uwagę przy ostatecznej ocenie naruszenia praw i wolności osób fizycznych.
Uzasadnienie z decyzji Prezesa UODO
Przede wszystkim nie ulega wątpliwości, że w omawianej sprawie wystąpiło naruszenie bezpieczeństwa prowadzące do przypadkowego utracenia oraz nieuprawnionego dostępu do danych osobowych przetwarzanych przez Fundację, a zatem doszło do naruszenia ochrony danych osobowych.
Nie bez znaczenia dla oceny sytuacji pozostaje fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Jednocześnie, ze zgromadzonego materiału dowodowego nie wynika, aby Fundacja podejmowała jakiekolwiek działania w celu zweryfikowania faktycznego zakresu danych osobowych znajdujących się w skradzionej dokumentacji. Brak takiej weryfikacji powoduje zwiększenie poziomu ryzyka naruszenia praw lub wolności tych osób.
Naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na utracie danych osobowych wielu osób, jaka miała miejsce w styczniu 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów, w szczególności danych dotyczących numerów ewidencyjnych PESEL wraz z imionami i nazwiskami, adresami korespondencyjnymi, numerami telefonów, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Fundacja podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.
Co do zasady administrator powinien zawiadomić indywidualnie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Jeżeli jednak Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to stosownie do art. 34 ust. 3 lit. c RODO powinna dokonać zawiadomienia tych osób poprzez wydanie publicznego komunikatu lub zastosowanie podobnego środka, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą, o naruszeniu.
W konsekwencji należy stwierdzić, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez administratora tych przepisów. Decydując o nałożeniu na Fundację administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a– k RODO – wziął pod uwagę następujące okoliczności sprawy.
Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Wysokie ryzyko wystąpienia negatywnych konsekwencji dla osób, których dane zostały przez Fundację utracone, a tym samym wagę naruszenia, potwierdzają okoliczności zdarzenia mającego miejsce w styczniu 2020 r., w szczególności to, że nie było to przypadkowe zdarzenie, a celowe działanie osoby lub osób trzecich (nieznanych ani Fundacji, ani Prezesowi UODO, ani organom ścigania prowadzącym postępowanie w sprawie kradzieży) działających w sposób przestępny i co do których założyć należy – w związku z takim sposobem działania – złą wolę jako motyw tego działania.
Czas trwania naruszenia przepisu art. 34 ust. 1 RODO jest w ocenie Prezesa UODO bardzo długi. Od powzięcia przez Fundację informacji o naruszeniu ochrony danych osobowych do chwili obecnej (naruszenie nie zostało usunięte) upłynęło piętnaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Fundację z obowiązku powiadomienia ich o naruszeniu. Za długi Prezes UODO uznaje również czas trwania naruszenia przepisu art. 33 ust. 1 RODO – w odpowiedzi na trzy kierowane do niej wezwania i po upływie dwunastu miesięcy od powzięcia informacji o naruszeniu ochrony danych osobowych – udzieliła Prezesowi UODO informacji wyczerpujących treść zgłoszenia. W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych wielu osób – na skutek kradzieży teczek zawierających dane osobowe beneficjentów – to jest 96 osób, które korzystały z pomocy prawnej w Fundacji.
Ponadto Fundacja podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą, pomimo powzięcia informacji o utracie danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe, lekceważąc również kierowane do niej pisma Prezesa UODO wskazujące na ciążące na administratorze obowiązki. W niniejszej sprawie Prezes UODO uznał współpracę Fundacji za niezadowalającą. Ocena ta dotyczy reakcji Fundacji na pisma Prezesa UODO wskazujące na obowiązki administratora.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Warto wskazać, że Prezes UODO negatywnie ocenił przedstawioną przez Fundację w tej sprawie analizę ryzyka stanowiąca załącznik do jej wyjaśnień. Dokument sprowadzał się do wydruku z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO wskazał, że kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →