Dane 740 osób w urzędowym biuletynie. Jest kara od UODO

Gdy dochodzi do naruszenia danych osobowych w podmiotach – czy to w wyniku ataku hakerskiego, czy innego incydentu – administratorzy zobowiązani są do zgłaszania takiego faktu Urzędowi Ochrony Danych Osobowych. Prezes Urzędu - obecnie funkcję tę pełni Mirosław Wróblewski – może w wyniku doniesień podjąć decyzję o wszczęciu postępowania mającego wyjaśnić, czy nie doszło do naruszenia przepisów o ochronie danych.

Jak wielokrotnie informowaliśmy w naszym serwisie, w przypadku stwierdzenia naruszenia RODO nakłada on dość spore kary na podmioty, które nie postępowały zgodnie z przepisami. Przykładowo, w lutym jedna z firm kurierskich otrzymała kilka kar o łącznej wysokości 11 mln zł za praktyki niezgodne z przepisami o ochronie danych.

Nieocenzurowana petycja w samorządowym biuletynie

W poniedziałek 25 maja na Portalu Orzeczeń UODO pojawiła się decyzja dotycząca Burmistrza Miasta i Gminy Myślenice. Jak czytamy w dokumencie oraz towarzyszącym mu komunikacie, instytucja opublikowała w swoim Biuletynie Informacji Publicznej petycję. Problem polegał na tym, że nie zanonimizowano zawartych w niej danych, co skutkowało ujawnieniem podpisów, adresów zamieszkania oraz imion i nazwisk 749 osób, które ją poparły.

Prezes Urzędu zajął się sprawą po skardze, którą złożyła jedna z osób podpisanych pod wspomnianym dokumentem. Zapytany o wyjaśnienia burmistrz Myślenic (administrator danych) wniósł o umorzenie postępowania (analogiczne prowadził Departament Skarg UODO). Przekazał również, że publikacja nieocenzurowanej petycji była błędem, ryzyko niekorzystnych skutków oceniono jako niskie, zaś w działaniach pracowników nie dopatrzono się zamiarów niezgodnych z prawem.

Naruszenia nie zgłoszono... bo plik pobrano tylko raz

Prezes UODO stwierdził jednak, że nawet pomimo niskiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator powinien był zgłosić incydent szefowi instytucji nadzorczej. Tak się jednak nie stało; plik z ujawnionymi danymi osobowymi ponad 740 osób był dostępny w Biuletynie przez kilkanaście dni.

Co ciekawe, zdaniem administratora do ujawnienia danych nie doszło, ponieważ „tylko jedna osoba” pobrała plik. Z tym jednak nie zgodził się szef UODO; do zwiększenia skali naruszenia może prowadzić przypadkowe ujawnienie danych nawet jednej z osób, które zostały zidentyfikowane.

„Administrator jako jednostka samorządu terytorialnego oraz podmiot publiczny powinien odznaczać się najwyższą znajomością prawa. Administrator nie zmienił stanowiska w sprawie obowiązkowego zgłoszenia naruszenia po wezwaniu organu nadzorczego w sprawie skargi indywidualnej oraz wszczęciu postępowania w sprawie naruszenia ochrony danych. Do momentu wydania decyzji przez Prezesa UODO nie nastąpiło zgłoszenie stosownego naruszenia przez administratora” – czytamy w komunikacie Urzędu.

W efekcie Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie ochrony danych osobowych przez Burmistrza Miasta i Gminy Myślenice i nałożył na niego karę w wysokości 7,7 tys. zł. W decyzji zaznaczono, że jednostki samorządu terytorialnego powinny odznaczać się szczególną starannością przy realizacji swoich zadań – również w zakresie przepisów dotyczących ochrony danych osobowych.