Do Urzędu Ochrony Danych Osobowych wpłynęła informacja o możliwości naruszenia ochrony danych osobowych w Prokuraturze Rejonowej. W ramach odpowiedzi na wniosek o dostęp do informacji publicznej prokuratura miała przekazać lokalnemu dziennikarzowi niezanonimizowaną dokumentację z zakończonego postępowania. Dziennikarz, po otrzymaniu kopii dokumentów, opublikował je w lokalnym serwisie internetowym, ale już z zanonimizowanymi danymi osobowymi.
Prokuratura nie zawiadomiła jednak o naruszeniu UODO, choć powinna to zrobić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Nie zawiadomiła też wymienionej w dokumentach osoby o naruszeniu ochrony jej danych osobowych. To spowodowało wysokie ryzyko naruszenia jej praw lub wolności oraz pozbawiło możliwości odpowiedniej reakcji na naruszenie. Osoba ta nie miała też możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej doniosłe konsekwencje. Dodatkowe zagrożenie dla praw lub wolności osób fizycznych wiążą się z ujawnieniem danych o stanie zdrowia dziecka.
Czytaj więcej
Prezes Urzędu Ochrony Danych Osobowych nie zajmie się ujawnieniem przez media danych, które pozwoliły zidentyfikować 15-letniego syna posłanki jako ofiarę przestępstwa pedofilii. Wnosił o to Rzecznik Praw Obywatelskich, ale Prezes UODO twierdzi, że sprawa ta nie powinna być rozpatrywana z punktu widzenia naruszenia przepisów o ochronie danych osobowych.
Prezes UODO wszczął więc z urzędu postępowanie w tej sprawie. Prokuratura nie przedstawiła żadnych dokumentów na dowód przeprowadzenia obowiązkowej analizy ryzyka naruszenia praw lub wolności osób fizycznych objętych naruszeniem ochrony danych osobowych. PUODO uznał zatem, że takiej oceny po prostu nie było. W wyniku zdarzenia doszło do naruszenia poufności danych osób fizycznych ze względu na udostępnienie nieprawidłowo zanonimizowanych dokumentów.
- Organ nadzorczy nie kwestionuje
samego udostępnienia dokumentacji w trybie dostępu do informacji
publicznej, a wskazuje jedynie, że przy jej udostępnieniu muszą być
zachowane zasady z zakresu ochrony danych osobowych. Rezultatem
udostępnienia niezanonimizowanej dokumentacji było ujawnienie danych
osobowych zawartych w jej treści osobie nieuprawnionej do ich
otrzymania, czego konsekwencją jest powstanie naruszenia ochrony danych
osobowych. Administrator zaś podejmując decyzję o niezawiadomieniu
o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą,
w praktyce pozbawił te osoby rzetelnej informacji o naruszeniu
i wskazówek co do możliwości przeciwdziałania potencjalnym szkodom - podkreślił Prezes UODO w komunikacie.
