Prezes UODO informację o naruszeniu ochrony danych otrzymał od dziennikarza. Był on uczestnikiem konferencji prasowej, na której przedstawiciele spółdzielni ujawnili informacje o sporze między tą spółdzielnią a jej członkiem. Człowiek ten miał prowadzić w lokalnych mediach i internecie negatywną kampanię wobec spółdzielni, ponieważ był niezadowolony z wysokości opłat za wodę, które są niezależne od spółdzielni. Podczas konferencji wiceprezes spółdzielni udostępnił dziennikarzom kserokopię zawiadomienia o podejrzeniu popełnienia  przestępstwa przez owego członka wraz z jego imieniem, nazwiskiem, numerem PESEL oraz adresem zamieszkania.

Spółdzielnia wprawdzie zarejestrowała to naruszenie, ale inspektor ochrony danych osobowych uznał, że ryzyko naruszenia praw lub wolności osoby, której dane ujawniono, było niskie. Jak wskazywali przedstawiciele spółdzielni w odpowiedzi na pismo z UODO, osoba ta sama upubliczniła swoje dane osobowe w mediach. Poza tym tłumaczyli, że  "wierząc w rzetelność zawodu dziennikarza i w Prawo prasowe  uznano, że dane osobowe są bezpieczne."

Czytaj więcej

Dane osobowe członków spółdzielni mieszkaniowych za słabo chronione
Dane osobowe
Dane osobowe członków spółdzielni mieszkaniowych za słabo chronione

"Każdy administrator w przypadku wystąpienia naruszenia ochrony danych osobowych jest zobowiązany w terminie 72 godzin od jego stwierdzenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych" - przyznał we wtorkowym komunikacie UODO wskazując, że administrator powinien brać pod uwagę wszelkie zagrożenia dla podmiotu danych, a nie interesy administratora.

W ocenie UODO, spółdzielnia nie dokonała pogłębionej analizy, a organowi nadzorczemu przekazała jedynie ogólny dokument nie odnoszący się do tego konkretnego przypadku.

"W tej sprawie nie wystąpiły czynniki obniżające poziom prawdopodobieństwa wystąpienia negatywnych skutków. Podmiotowi nieuprawnionemu udostępniono dokument zawierający dane osobowe członka spółdzielni. Nie jest istotne, czy osoba ta faktycznie dokonała czynów, o których mowa w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby doszło do potwierdzenia zasadności podnoszonych zarzutów, to nie oznacza, że osoba ta nie powinna podlegać ochronie." - wyjaśnia UODO.

Dodaje, że w sytuacji, gdy występuje wysokie ryzyko dla praw lub wolności osób fizycznych, administrator zobowiązany jest także o zdarzeniu powiadomić osobę, której dane objęło naruszenie i wskazać jej wystąpienie ewentualnych negatywnych konsekwencji.

"Zestawienie takich danych, jak ujawniane imię, nazwisko czy numer PESEL jest wystarczające do podszycia się pod tę osobę i np. zaciągnięcia zobowiązań pieniężnych. Dlatego osoba pokrzywdzona powinna tym bardziej zostać poinformowana o zaistniałym naruszeniu. Mimo że negatywne konsekwencje się nie zmaterializowały, to ważna jest sama możliwość ich wystąpienia." - twierdzi UODO.

Zdaniem Prezesa Urzędu, wysokość kary nałożonej na spółdzielnię (51 tys. 876 zł) została  określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółdzielni Mieszkaniowej.