Prezes UODO nałożył karę na prokuraturę za brak zgłoszenia naruszenia oraz brak zawiadomienia osób

10 maja 2023

Prezes UODO nałożył karę na prokuraturę za brak zgłoszenia naruszenia oraz brak zawiadomienia osób / ShutterStock

Jak informuje UODO w sprawie doszło do naruszenia poufności danych osób fizycznych ze względu na udostępnienie nieprawidłowo zanonimizowanych dokumentów.

Kolejny administrator z karą za brak zgłoszenia naruszenia oraz brak zawiadomienia osób

Prezes Urzędu Ochrony Danych Osobowych nałożył na Prokuraturę Rejonową administracyjną karę pieniężną w wysokości 20 tys. zł za niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych oraz niezawiadomienie osób, których dane objęto naruszeniem. Prezes UODO nakazał administratorowi powiadomienie osób o zaistniałym naruszeniu.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej. Zdarzenie polegało na przekazaniu lokalnemu dziennikarzowi w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej^[1] niezanonimizowanej dokumentacji z zakończonego postępowania. Następnie dziennikarz ten, po otrzymaniu kopii dokumentów, opublikował je w lokalnym serwisie internetowym, anonimizując wcześniej dane osobowe.

Wobec braku zawiadomienia przez administratora organu nadzorczego o naruszeniu oraz braku zawiadomienia osób, których dane dotyczą, organ nadzorczy wszczął z urzędu postępowanie.

Czas reakcji jest ważny

W przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Zgłaszanie do organu nadzorczego naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Takie działania pozwalają organowi nadzorczemu na właściwą reakcję, która może ograniczyć skutki naruszeń. Zgłaszając naruszenie organowi nadzorczemu, administratorzy tym samym informują organ nadzorczy, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Należy podkreślić, że w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu.

Zatem organ nadzorczy weryfikuje ocenę dokonaną przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia.

Zawiadomienie osób

W przedmiotowej sprawie, administrator nie zawiadomił osób, których dane dotyczą o naruszeniu ochrony danych osobowych. Brak zawiadomienia osoby fizycznej o naruszeniu w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej doniosłe konsekwencje.

Biorąc pod uwagę szeroki zakres ujawnionych danych należy stwierdzić, że wskutek zaistniałego zdarzenia wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dodatkowe zagrożenie dla praw lub wolności osób fizycznych wiążą się z ujawnieniem danych o stanie zdrowia dziecka.

Ocena ryzyka

Administrator powinien dokonać oceny ryzyka naruszenia praw lub wolności osoby fizycznej, która powinna być przeprowadzona przede wszystkim przez pryzmat osoby zagrożonej. Podstawowym celem RODO jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. W przypadku gdyby wystąpiły jakiekolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te podstawowe wartości.

W trakcie postępowania administrator nie przedstawił żadnej analizy w tym zakresie, a tym samym nie udokumentował, że przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem ochrony danych osobowych. Organ uznał zatem, że Administrator takiej oceny po prostu nie przeprowadził. W wyniku zdarzenia doszło do naruszenia poufności danych osób fizycznych ze względu na udostępnienie nieprawidłowo zanonimizowanych dokumentów.

W tym miejscu należy podkreślić, że organ nadzorczy nie kwestionuje samego udostępnienia dokumentacji w trybie dostępu do informacji publicznej, a wskazuje jedynie, że przy jej udostępnieniu muszą być zachowane zasady z zakresu ochrony danych osobowych. Rezultatem udostępnienia niezanonimizowanej dokumentacji było ujawnienie danych osobowych zawartych w jej treści osobie nieuprawnionej do ich otrzymania, czego konsekwencją jest powstanie naruszenia ochrony danych osobowych. Administrator zaś podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby rzetelnej informacji o naruszeniu i wskazówek co do możliwości przeciwdziałania potencjalnym szkodom.

^[1]Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz. U. z 2022 r. poz. 902

oprac. Wioleta Matela-Marszałek

rozwiń więcej

Prawo

Ile jest warta informacja czy akcja zdrożeje? Kolizja interesów prawnych i obowiązek zachowania tajemnicy zawodowej a należyte wykonywanie zadań giełdowych. Przepisy i sankcje

05 maja 2025

W sytuacji kolizji pomiędzy obowiązkiem lojalnego wykonywania obowiązków służbowych a obowiązkiem zachowania tajemnicy i ochrony informacji poufnych, rozstrzygnięcie, które przyznaje pierwszeństwo temu drugiemu, opiera się na fundamentalnych zasadach prawa rynku kapitałowego oraz etyce zawodowej. Zasadniczo, ochrona rynku finansowego i zapobieganie nadużyciom w obrocie papierami wartościowymi mają nadrzędne znaczenie, a w związku z tym obowiązek zachowania tajemnicy zawodowej w kontekście informacji poufnych staje się priorytetowy. Jest to nie tylko kwestia przestrzegania przepisów prawa, ale także zapewnienia uczciwości i przejrzystości w działaniach podejmowanych na rynku kapitałowym - pisze radca prawny K. Jakub Gładkowski. I wyjaśnia także jakie są sankcje i odpowiedzialność za tego typu naruszenia w unijnym i polskim porządku prawnym.

Rozwód w 2025 i 2026 r. [FAQ]

05 maja 2025

Co może się zmienić w procedurach rozwodowych? Jakie są aktualne przepisy? Co trzeba wiedzieć o rozwodzie w 2025 2026 r.? Oto odpowiedzi na najważniejsze pytania!

Sejm na żywo 5 maja: Komisja śledcza ds. Pegasusa

05 maja 2025

Przesłuchanie nadinsp. Adama Cieślaka, Komendanta Centralnego Biura Zwalczania Cyberprzestępczości.

Emerytura i renta po śmierci seniora. Kiedy można ją zatrzymać, a kiedy trzeba zwrócić. ZUS musi wypłacić świadczenie jeżeli zmarły nabył do niego prawo

05 maja 2025

ZUS informuje, że po śmierci osoby pobierającej emeryturę lub rentę, ZUS wstrzymuje wypłatę świadczeń, ponieważ prawo do nich wygasa. Jeśli jednak emerytura lub renta została wypłacona po śmierci, ale w miesiącu, w którym ta śmierć miała miejsce, nie zawsze jest konieczne zwracanie tych pieniędzy do ZUS-u. W niektórych sytuacjach rodzina może zatrzymać ostatnią wypłatę, o ile zmarły miał do niej prawo.

Dwie decyzje w jednej kopercie prześle ZUS do emerytów i rencistów w maju 2025 r. Przeczytaj uważnie i sprawdź wysokość świadczeń

05 maja 2025

Zakład Ubezpieczeń Społecznych rozpoczął wysyłkę corocznej korespondencji do emerytów i rencistów. W jednej kopercie znajdą dwie decyzje – o waloryzacji z marca 2025 r. oraz przyznaniu dodatkowego rocznego świadczenia pieniężnego czyli tzw. trzynastki.

Grillowanie na balkonie i w parku – czy jest dozwolone?

05 maja 2025

Nadejście wiosny można poczuć nie tylko w zwiększonych temperaturach, ale także w zapachach unoszonych przez powietrze. Bowiem gdy tylko zaczyna się sezon, Polacy chętnie zaczynają grillować. Rośnie wtedy nie tylko sprzedaż grillowych akcesoriów, ale także statystyczna liczba mandatów udzielonych przez Straż Miejską plenerowym koneserom. Większość mieszkańców miast nie posiada własnego ogrodu, dlatego wielu zadaje sobie pytanie, czy grillowanie na balkonie lub w parku jest dozwolone.

Jak nie zaciągać pożyczki?

05 maja 2025

Każde postanowienie w umowie pożyczkowej może mieć realny wpływ na sytuację finansową pożyczkobiorcy, zwłaszcza jeśli chodzi o dodatkowe opłaty, prowizje czy warunki spłaty. Bardzo ważna jest świadomość prawna, pochopne podejmowanie decyzji odłóż na bok. Zatem jak nie zaciągać pożyczki?

2962 zł dla matek czy ojców, bo: 500 zł (aktywnie w domu) + 1662 zł (zasiłek) + 800plus. Nie opłaca im się pracować za minimalną krajową

05 maja 2025

Mówi się o państwie opiekuńczym, o państwie socjalnym. I coś w tym jest. Wśród rodziców dzieci, którzy nie są zatrudnieni mówi się, że przy różnych świadczenia pieniężnych i zasiłkach jakie można otrzymać od państwa nie opłaca im się pracować za minimalną krajową. Wprawdzie może mieliby netto te kilkaset złotych więcej, ale za to jakim kosztem, kosztem pracy i czasu. Rodzice wolą dostać np. 2962 zł, bo: 500 zł (aktywnie w domu) + 1662 zł (zasiłek) + 800plus. Oczywiście taki schemat nie jest dany raz na zawsze! Jeśli jest dwoje dzieci kwota ta zwiększa się o kolejne 500 i 800 zł.

Uważam, że Trybunał Konstytucyjny w wyroku z 4 czerwca 2024 r. niesprawiedliwie pominął grupę emerytów, która złożyła wnioski o wcześniejszą emeryturę między 6 czerwca a 31 grudniem 2012 r.

04 maja 2025

Do naszej redakcji stale trafiają historie emerytów, którzy uważają, że zostali pokrzywdzeni przez niekorzystne przeliczenie wcześniejszych emerytur. Trwa to od 2013 r. aż do dnia dzisiejszego. Mechanizm pokrzywdzenia? Emerytura powszechna jest pomniejszana o np. 1000 zł miesięcznie jako sankcja za pójście na emeryturę wcześniejszą. Miesiąc w miesiąc. W artykule przykład takiego listu – autorem jest emerytowany operator kamery. Opisał, że wprost pytał się w ZUS w 2012 r (pracowników i służby prasowe), czy straci na emeryturze powszechnej za pójście na wcześniejszą emeryturę. Usłyszał, że absolutnie nie. Okazało się, że stracił i traci do teraz (do 2025 r.). Historia emeryta jest więc interesująca bo czuł w 2012 r., że zbyt piękne jest, aby nie było jakiegoś haczyka we wcześniejszej emeryturze. I próbował uniknąć zagrożenia szukając informacji w ZUS. Nie udało mu się (pomimo starań).

Zasiłek nie przez 180 ale nawet przez 365 dni dla wybranych osób. Jest ustawa i czeka na wejście w życie

05 maja 2025

Zasiłek nie przez 180 ale nawet przez 365 dni dla wybranych osób. Jest ustawa i czeka na wejście w życie, ale czy to wpłynie na aktywizację osób bezrobotnych? Raczej nie, tym bardziej, że ustawodawca poszerzył krąg podmiotów mający prawo do zasiłku przez rok.

pokaż więcej