Prezes UODO zajął się niniejszą sprawą po otrzymaniu zawiadomienia od powiatowego inspektora sanitarnego. Po zebraniu szczegółowych informacji dotyczących podmiotów, jakim powiatowy inspektor sanitarny przekazywał dane osób przebywających na kwarantannie i w izolacji domowej, Prezes UODO wszczął z urzędu postępowanie w zakresie możliwości naruszenia przepisów RODO przez jedną ze spółek współpracujących z zakładem oczyszczania miasta, jako administratora danych, poprzez udostępnienie nieuprawnionym odbiorcom listy zawierającej adresy osób objętych kwarantanną medyczną.
Spółka, którą objęto postępowaniem, otrzymywała informacje dotyczące wykazów miejsc kwarantanny na terenie miasta i gminy drogą elektroniczną z komendy powiatowej policji. Wykazy te były następnie przekazywane upoważnionym pracownikom zakładu oczyszczania miasta, którzy mieli weryfikować, czy w danym okresie odpady mają być odbierane z miejsc, które znajdują się w niniejszych wykazach. Miało to na celu zminimalizowanie ryzyka zetknięcia się przez nich przy wykonywaniu obowiązków pracowniczych z czynnikami ryzyka związanego z koronawirusem.
Jak okazało się w toku postępowania, wyciek danych był następstwem nieuwagi pracownika kontrolowanej spółki. Wykaz został na chwilę pozostawiony bez nadzoru na biurku pracownika wykonującego inne czynności, podczas gdy w pomieszczeniu znajdował się kierowca zakładu oczyszczania miasta. Kierowca ten zrobił telefonem zdjęcie wykazu i udostępnił dalej, za pośrednictwem komunikatora internetowego.
Wykaz obejmował: nazwę miejscowości, nazwę ulicy, numer posesji/lokalu, nie obejmował imion, czy nazwisk. Mimo tego, zdaniem Prezesa UODO, niniejsze dane stanowią dane osobowe, ponieważ upublicznienie listy adresów, pod którymi znajdują się osoby poddane kwarantannie medycznej, umożliwia wskazanie konkretnych osób przez osoby w określonej zbiorowości, np. sąsiadów, rodzinę. Co więcej, informacja o objęciu kwarantanną osoby, która była narażona na chorobę zakaźną lub pozostawała w styczności ze źródłem biologicznego czynnika chorobotwórczego, stanowi w ocenie Prezesa UODO, dane dotyczące zdrowia tej osoby, z uwagi na ryzyko zachorowania. Jak wskazano w decyzji: „bez znaczenia w tym kontekście pozostaje fakt, czy osoba wykazuje objawy chorobowe, czy też nie”.
Zarzuty Prezesa UODO przeciwko kontrolowanej spółce dotyczyły przede wszystkim błędnego oszacowania przez administratora ryzyk w procesach przetwarzania danych, niedokonania zgłoszenia naruszenia ochrony danych osobowych w odpowiednim terminie oraz niedokonania zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych.
Spółka posiadała procedury dotyczące ochrony danych, postępowania z danymi dotyczącymi osób przebywających na kwarantannie medycznej, jednakże, jak w wielu przypadkach, zawiódł czynnik ludzki. W ocenie Prezesa UODO, ryzyka związane z tzw. czynnikiem ludzkim w przyjętych przez spółkę procedurach nie zostały uwzględnione w należytym stopniu.
Prezes UODO zwrócił uwagę, że jest to bardzo istotne, przy przetwarzaniu danych szczególnej kategorii, w szczególności biorąc w sytuacji związanej ze stanem epidemii. Z tego względu, zdaniem Prezesa UODO, administrator powinien mieć szczególnie na względzie, wysoce przewidywalne ryzyko związane z niedogodnościami trudnymi do przezwyciężenia, takimi jak dyskryminacja, ostracyzm społeczny, poczucie napiętnowania, stres, czy nawet potencjalne straty materialne związane z negatywną reakcją społeczności.
Prezes UODO wskazał, że w analizie ryzyka, administrator powinien uwzględnić zarówno szczególny charakter przetwarzanych danych, jak i czynnik ludzki, rozumiany jako lekkomyślność (bezpodstawne przypuszczenie, że szkoda nie nastąpi) lub niedbalstwo (nie przewidywanie możliwości powstania szkody, w okolicznościach, w których można i powinno się przewidzieć jej powstanie).
W analizowanej sprawie, w ocenie Prezesa UODO, narażenie osób znajdujących się pod ujawnionymi adresami na negatywne konsekwencje, spowodowane było błędnym postrzeganiem sytuacji przez administratora. W konsekwencji, Prezes UODO zarzucił spółce nierespektowanie przepisów RODO, w tym obowiązku zawiadomienia organu nadzorczego o zaistnieniu naruszenia ochrony danych osobowych, jak również osób, których dane dotyczą.
Nałożoną przez Prezesa UODO karę było jedynie upomnienie. Przy wymierzaniu kary Prezes UODO wziął pod uwagę fakt, że kontrolowana spółka podjęła działania dyscyplinujące wobec pracowników, którzy swoimi działaniami przyczynili się do powstania naruszenia oraz nie zbagatelizowała sprawy i zobowiązała się do zrewidowania istniejących w spółce procedur, jak również ponownego przeszkolenia pracowników z zakresu przepisów dotyczących ochrony danych osobowych.
W każdej decyzji wydanej przez Prezesa UODO znajdziemy szereg wskazówek dotyczących sposobu wykładni przepisów RODO przez polski organ nadzorczy, co, zważywszy na bardzo ogólny charakter regulacji, z całą pewnością ułatwia wypełnianie obowiązków ciążących na podmiotach przetwarzających dane osobowe.
W omawianej decyzji przede wszystkim zwraca uwagę wykładnia Prezesa UODO w zakresie definiowania danych osobowych, w tym danych szczególnej kategorii, którymi w zależności od kontekstu, mogą być także dane adresowe. Ponadto, rozważania Prezesa UODO dotyczące zgłaszania naruszeń dają istotną wskazówkę dla administratorów danych co do sposobu postępowania. Prezes UODO wprost wskazał, że w sytuacjach wątpliwych, lepszym rozwiązaniem jest dokonanie zgłoszenia naruszenia ochrony danych osobowych nawet na wyrost, niż niedokonanie zgłoszenia wcale.