Decyzja
DKN.5101.25.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 58 ust. 2 lit. b) i e), w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez U. Sp. z o.o. z siedzibą w G., Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez U. Sp. z o.o. z siedzibą w G., przepisów art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), udziela upomnienia U. Sp. z o.o. z siedzibą w G.;
2) nakazuje zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), tj.:
1) opisu charakteru naruszenia ochrony danych osobowych;
2) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
4) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,
w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w G. (zwanym dalej również „PPIS w G.”) z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w G. oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2. Zgodnie z przekazaną informacją dane osobowe dotyczące ww. osób były udostępniane przez Państwowego Powiatowego Inspektora Sanitarnego w G. następującym podmiotom: Komendzie Powiatowej Policji w G., Naczelnikowi Poczty Polskiej w G., Miejskim i Gminnym Ośrodkom Pomocy Społecznej na terenie powiatu g. oraz Komendzie Straży Pożarnej w G.. Ponadto Państwowy Powiatowy Inspektor Sanitarny w G. oświadczył, że podjął we własnym zakresie czynności wyjaśniające, w wyniku których stwierdził, że źródłem ujawnienia ww. danych osobowych nie była Inspekcja Sanitarna w G..
Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również „Prezesem UODO”) pismem z […] kwietnia 2020 r. zwrócił się do Komendanta Powiatowego Policji w G. o wyjaśnienie między innymi, czy znany mu jest incydent opisany pod adresem: […] oraz czy w związku z tym incydentem została przeprowadzona analiza pod kątem stwierdzenia naruszenia ochrony danych osobowych ww. osób. Ponadto Prezes UODO wezwał do wyjaśnienia, czy jeśli w wyniku przeprowadzonej analizy stwierdzono naruszenie ochrony danych osobowych, to z jakich przyczyn nie zostało ono dotychczas zgłoszone organowi nadzorczemu. W odpowiedzi z […] kwietnia 2020 r. (sygn. […]) Komendant Powiatowy Policji w G. wyjaśnił w szczególności, że:
1) listy z danymi osobowymi osób objętych kwarantanną były przesyłane ze Stacji Sanitarno – Epidemiologicznej w G. do Komendy Powiatowej Policji w G. drogą elektroniczną za pośrednictwem e-PUAP na skrzynkę adresową e-PUAP KPP G.;
2) w związku z panującym stanem epidemiologicznym, do Komendy Powiatowej Policji w G. wpłynęły wnioski o udzielanie informacji dotyczących adresów osób objętych kwarantanną od następujących podmiotów: Komendy Powiatowej Państwowej Straży Pożarnej w G., Gminnego Ośrodka Pomocy Społecznej w G., Spółdzielni Mieszkaniowej w G., U. Sp. z o. o. w G.. Konieczność pozyskania wnioskowanych danych osobowych uzasadniona była obawą przed narażaniem pracowników na zagrożenie w związku z COVID – 19;
3) odpowiedzi na wnioski złożone przez ww. podmioty przesyłane były drogą elektroniczną na wskazane przez nie adresy e-mail. Przesyłano dane w postaci adresów osób objętych kwarantanną zawierające: nazwę miejscowości, ulicę, numer posesji/lokalu, w formie tabeli, której nadano nazwę: „AKTUALNY (stan na dzień..godz…) WYKAZ OSÓB OBJĘTYCH KWARANTANNĄ W ZWIĄZKU Z ZAGROŻENIEM KORONAWIRUSEM”;
4) umieszczona w komunikatorze internetowym Messenger lista adresów osób objętych kwarantanną jest najprawdopodobniej sporządzona według stanu na dzień […] kwietnia 2020 r. Z fotografii zamieszczonej w komunikatorze internetowym M i w artykule we wskazanym linku wynika, że lista ta została wydrukowana w tradycyjnej formie papierowej w pionie, a następnie sfotografowana. Szata graficzna dokumentów jest rozbieżna. W Komendzie Powiatowej Policji w G. wykaz osób objętych kwarantanną sporządzony został w układzie poziomym i nie był drukowany. Natomiast w sieci internetowej ukazał się wydrukowany wykaz w układzie pionowym, w górnej części dokumentu nagłówek tabeli nakłada się na listę adresów.
Następnie Prezes Urzędu Ochrony Danych Osobowych zwrócił się pismami z […] kwietnia 2020 r. do Komendanta Powiatowego Państwowej Straży Pożarnej w G., Gminnego Ośrodka Pomocy Społecznej w G., U. Sp. z o.o. z siedzibą w G. (zwaną dalej również „Spółką” lub „administratorem”) oraz pismem z […] maja br. do Spółdzielni Mieszkaniowej w G., z analogicznymi, jak do Komendanta Powiatowego Policji w G., pytaniami, dodatkowo wskazując prawidłowe sposoby zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. Wszystkie te podmioty, z wyjątkiem Spółki, oświadczyły, że w wyniku przeprowadzonych wewnętrznych postępowań wyjaśniających nie stwierdziły w swoich organizacjach naruszenia ochrony danych osobowych dotyczącego ujawnienia danych osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w G. oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.
W odpowiedziach na wezwania z […] kwietnia i […] maja 2020 r., U. Sp. z o.o. z siedzibą w G., pismami z […] i […] maja br. (sygn. […] oraz […]), wyjaśniła w szczególności, że:
- otrzymywała „wykazy miejsc kwarantanny na terenie miasta oraz gminy G." wyłącznie drogą elektroniczną z Komendy Powiatowej Policji w G.. Wykazy były przesyłane w okresie od […] marca do […] kwietnia 2020 r., z różną częstotliwością, na indywidualny adres e-mailowy pracownika Spółki. Wykazy te obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną;
- wykazy były przekazywane upoważnionym pracownikom Zakładu Oczyszczania Miasta, którzy mieli za zadanie zweryfikować, czy w danym okresie odpady mają być odbierane z miejsc, które widnieją na wyżej wskazanych wykazach. Powyższe było podyktowane ochroną życia i zdrowia pracowników Spółki (pracowników Zakładu Oczyszczania Miasta), zminimalizowaniem ryzyka zetknięcia się przez nich przy wykonywaniu obowiązków pracowniczych z czynnikami ryzyka związanego z koronawirusem;
- w dniu […] kwietnia 2020 r. wyżej wskazany wykaz został wydrukowany. W toku wykonywania obowiązków pracowniczych osoba odpowiedzialna w tym dniu za nadzór nad wydrukowanym wykazem pozostawiła go na krótki czas bez należytego nadzoru (wykaz leżał na biurku tej osoby, a osoba ta odwróciła się celem wykonania innych czynności w innej części tego samego pomieszczenia). W tym czasie w pomieszczeniu tym znajdował się też inny pracownik Spółki - kierowca w Zakładzie Oczyszczania Miasta, który, korzystając z tego, że osoba odpowiedzialna za nadzór nad wydrukowanym wykazem była skierowana do niego plecami, skopiował (utrwalił w postaci zdjęcia) ten wykaz. Kierowca ten, miał zostać poinformowany przez osobę nadzorującą wydrukowany wykaz, czy w ramach wykonywanej przez niego pracy, odpady mają być odbierane z miejsc, które widnieją na wyżej wskazanym wykazie. Następnie, kierowca ten udostępnił tak wykonane zdjęcia co najmniej jednej osobie. Z ustaleń Spółki wynika, że na pewno był to inny pracownik Spółki, również kierowca w Zakładzie Oczyszczania Miasta (kierowca ten również miał zostać poinformowany, czy w ramach wykonywania przez niego pracy odpady mają być odbierane z miejsc, które widnieją na wyżej wskazanym wykazie);
- pozostawienie bez wymaganego nadzoru i niewłaściwe zabezpieczenie dokumentacji objętej szczególnymi zasadami ochrony przez osobę odpowiedzialną w tym dniu za nadzór nad wydrukowanym wykazem zostało zakwalifikowane przez administratora jako nieprzestrzeganie ustalonej organizacji i porządku w procesie pracy, za co została udzielona tej osobie kara porządkowa nagany;
- utrwalenie przez kierowcę Zakładu Oczyszczania Miasta w postaci zdjęcia dokumentacji objętej szczególnymi zasadami ochrony (lista adresów objętych kwarantanną) oraz nieuprawnione, niedozwolone udostępnienie tak wykonanych zdjęć co najmniej jednej osobie zostało zakwalifikowane przez administratora jako ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkowało rozwiązaniem umowy o pracę z kierowcą w trybie dyscyplinarnym;
- wyżej wymienione osoby dopuściły się naruszeń, które skutkowały wyżej wskazanymi konsekwencjami. W ocenie Spółki naruszenia te były skutkiem nieprzestrzegania ustalonych w Spółce procedur jednak na chwilę udzielania odpowiedzi nie można przesądzić, że wypełniają one znamiona naruszenia ochrony danych osobowych zdefiniowanego w art. 4 pkt 12 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) podlegającego zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych.
W związku z wyjaśnieniami złożonymi przez administratora, pismem z […] września 2020 r. (sygn. DKN.5101.25.2020) Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez U. Sp. z o.o. z siedzibą w G., jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1, w związku z naruszeniem ochrony danych osobowych osób objętych kwarantanną medyczną poprzez udostępnienie nieuprawnionym odbiorcom listy zawierającej adresy osób objętych kwarantanną medyczną. Ponadto w piśmie tym Prezes UODO wezwał administratora m.in. do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, otrzymywanych od Komendy Powiatowej Policji w G., administrator przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej (w tym przechowywania na biurku) pod kątem zagrożeń związanych z utratą poufności tych danych oraz do poinformowania jaki był wynik tej analizy, lub do wskazania powodów odstąpienia od jej wykonania.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, zawartej w piśmie z […] września 2020 r. ([…]), administrator wyjaśnił m.in., że przeprowadził stosowną analizę ryzyka, przedstawioną w załączniku nr 2 do przedmiotowego pisma.
Pismem z […] września 2020 r. Prezes UODO ponownie wezwał Spółkę do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, otrzymywanych od Komendy Powiatowej Policji w G., administrator przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej (w tym przechowywania na biurku) pod kątem zagrożeń związanych z utratą poufności tych danych oraz do poinformowania jaki był wynik tej analizy, lub do wskazania powodów odstąpienia od jej wykonania, wskazując, że analiza przedstawiona w piśmie z […] września br. nie odnosi się w swojej treści do pytania dotyczącego tej kwestii, zawartego w piśmie Prezesa Urzędu Ochrony Danych Osobowych z […] września 2020 r.
U. Sp. z o.o. z siedzibą w G. w piśmie z […] września 2020 r. oświadczyła, że „(…) przy ustalaniu procedur związanych z przetwarzaniem wykazów miejsc kwarantanny na terenie miasta oraz gminy G. wykonała analizę, której kopia została przesłana z pismem Spółki z dnia […] września 2020 r. W toku tej analizy uwzględniono okoliczności związane z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w Spółce oraz okoliczności związane w wykradnięciem lub wyniesieniem danych przez pracowników lub współpracowników. W obu tych przypadkach wzięto pod uwagę sposoby zabezpieczania danych biorąc pod uwagę kanały ich dystrybucji, tj. korespondencja e-mailowa oraz wydruki. W każdym z tych przypadków, tak samo jak i w przypadku przetwarzania innych danych, krąg osób przetwarzających ww. wykazy na każdym etapie ich dystrybucji został ograniczony do niezbędnego minimum oraz stosowane były pozostałe zasady wynikające z Polityki Bezpieczeństwa Informacji.
Wniosek z tej analizy był taki, że ryzyka związane z przetwarzaniem ww. wykazów, w tym w aspekcie ewentualnej utraty ich poufności, były na poziomie średnim. Nie stwierdzono dużego prawdopodobieństwa możliwości spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dlatego też nie wykonano oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.”
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Unijny prawodawca w art. 4 pkt 1 rozporządzenia 2016/679 zawarł legalną definicję pojęcia „dane osobowe”. Zgodnie z nią „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 rozporządzenia 2016/679 wskazano, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
Jak wynika z informacji przekazanych przez Państwowego Powiatowego Inspektora Sanitarnego w G. i Komendę Powiatową Policji w G., dokument udostępniony nieuprawnionym odbiorcom zawierał listę adresów, pod którymi przebywały osoby, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w G. oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2. Lista obejmowała: nazwę miejscowości, nazwę ulicy, numer posesji/lokalu. W złożonych wyjaśnieniach administrator oświadczył, że wykazy te obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną.
W ocenie Prezesa UODO nie sposób zgodzić się ze stanowiskiem administratora. Omawiając definicję danych osobowych należy zwrócić uwagę, że wspomniane przesłanki uznania przetwarzanych informacji za dane osobowe, tj. (1) informacje (2) dotyczące (3) zidentyfikowanej lub możliwej do zidentyfikowania (4) osoby fizycznej, są tożsame z tymi, które obowiązywały na gruncie uchylonej przez rozporządzenie 2016/679 dyrektywy 95/46/WE. Istotne wskazówki na temat stosowania i interpretowania pojęcia danych osobowych, zostały zawarte w opinii 4/2007 w sprawie pojęcia danych osobowych wydanej przez Grupę Roboczą art. 29, w skład której wchodził Generalny Inspektor Ochrony Danych Osobowych, którego następcą prawnym jest Prezes Urzędu Ochrony Danych Osobowych.
Rozważając element pierwszej przesłanki, tj. (1) informacji, Prezes UODO wskazuje, że Komendant Powiatowy Policji w G. w piśmie z […] kwietnia 2020 r., wyjaśnił, że udostępniał Spółce informacje adresowe o osobach objętych kwarantanną obejmujące: nazwę miejscowości, ulicę, numer posesji/lokalu. Należy podkreślić, że w przedmiotowej sprawie walor informacji ma również tytuł widniejący na udostępnionej nieuprawnionym odbiorcom liście, tj. „AKTUALNY (stan na dzień….godz….) WYKAZ OSÓB OBJĘTYCH KWARANTANNĄ W ZWIĄZKU Z ZAGROŻENIEM KORONAWIRUSEM”.
Z kolei by informację uznać za dane osobowe, musi (2) dotyczyć osoby fizycznej (mieć związek z osobą fizyczną). Jak wskazuje Grupa Robocza art. 29 w swojej opinii 4/2007 w sprawie pojęcia danych osobowych, związek ten należy badać przez pryzmat trzech niezależnych okoliczności, tj. treści, celu lub skutku. Okoliczności te nie muszą występować łącznie. Oznacza to, że informacje nie muszą „koncentrować się” na kimś, aby można było uznać, że go dotyczą. W związku z powyższym kwestię ustalenia, czy dane dotyczą określonej osoby, należy rozważać indywidualnie w przypadku każdej informacji. O ile informację adresową, opierając się na samej jej treści, trudno powiązać z osobą fizyczną (adres literalnie dotyczy nieruchomości), to jednak patrząc już przez pryzmat celu i skutku należy uznać, że informacja ta wraz z informacją o przebywaniu na kwarantannie medycznej, dotyczy osoby fizycznej. „Cel” występuje, jeżeli dane są lub mogą być wykorzystywane, biorąc pod uwagę wszystkie okoliczności danej sprawy, w celu oceny osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowanie. Dane informacje można również uznać za dotyczące osoby fizycznej jeśli ich użycie będzie miało „skutek” w postaci wpływu na jej prawa i interesy, przy uwzględnieniu wszystkich okoliczności sprawy. Potencjalny skutek nie musi polegać na znacznym wpływie. Wystarczy, że pewna osoba może być traktowana odmiennie od innych osób na skutek przetwarzania takich danych. Jak wynika z wyjaśnień administratora, informacje o adresach, pod którymi znajdują się osoby poddane kwarantannie, były pozyskiwane w celu ochrony życia i zdrowia pracowników Spółki (pracowników Zakładu Oczyszczania Miasta).
Trzecia i czwarta przesłanka pojęcia danych osobowych wymaga, by informacja dotyczyła (3) zidentyfikowanej lub możliwej do zidentyfikowania (4) osoby fizycznej. Możliwość zidentyfikowania danej osoby nie musi być tożsama z ustaleniem jej nazwiska, wystarczy możliwość wskazania jej, czy też wyróżnienia z określonej zbiorowości. W doktrynie wskazuje się, że „[r]yzyko związane z oceną określonej informacji posiadanej przez administratora przez pryzmat kwalifikowalności jej jako danej osobowej obciąża administratora, również w przypadku, gdy udostępnia on określoną informację, na podstawie której samodzielnie nie może dokonać identyfikacji, nawet nieświadomie, podmiotowi lub podmiotom (np. udostępniając ją w Internecie), które z użyciem dostępnych im dodatkowych informacji takiej identyfikacji będą mogły dokonać. W takiej sytuacji czynność udostępnienia będzie już przetwarzaniem danych osobowych, wobec faktu, że udostępniane informacje będą danymi osobowymi. Konstatację tę wywieść można wprost ze zd. 3 motywu 26, stanowiącego o prawdopodobnych sposobach identyfikacji wykorzystanych nie tylko przez administratora, lecz także przez inną osobę” (Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz). Jak już wyżej wskazano, możliwość zidentyfikowania danej osoby nie musi być tożsama z ustaleniem jej nazwiska. W ocenie Prezesa UODO upublicznienie listy adresów, pod którymi znajdują się osoby poddane kwarantannie medycznej, umożliwia wskazanie konkretnych osób przez osoby w określonej zbiorowości, np. sąsiadów, rodzinę.
Z poglądem Spółki, że „(…) [w]ykazy te obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną” nie sposób zgodzić się również z tego względu, że, jak zostało to już wyżej wskazane, udostępniona nieuprawnionym odbiorcom lista zawierała następujący tytuł: „AKTUALNY (stan na dzień... godz…) WYKAZ OSÓB OBJĘTYCH KWARANTANNĄ W ZWIĄZKU Z ZAGROŻENIEM KORONAWIRUSEM”. Należy zatem stwierdzić, że administrator, uzyskując informację, iż pod wskazanym adresem zamieszkuje osoba poddana kwarantannie, przetwarzał także dane szczególnej kategorii dotyczące zdrowia osoby nią objętej.
Zgodnie z art. 4 pkt 15 rozporządzenia 2016/679 „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia. Ponadto w motywie 35 rozporządzenia 2016/679 wyjaśniono, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą m.in. informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia.
Stosownie do art. 34 pkt 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2019 r. poz. 1239 t.j.) osoby, które były narażone na chorobę zakaźną lub pozostawały w styczności ze źródłem biologicznego czynnika chorobotwórczego, a nie wykazują objawów chorobowych, podlegają obowiązkowej kwarantannie lub nadzorowi epidemiologicznemu, jeżeli tak postanowią organy inspekcji sanitarnej przez okres nie dłuższy niż 21 dni, licząc od dnia następującego po ostatnim dniu odpowiednio narażenia albo styczności.
W świetle treści motywu 35, w sposób nie budzący wątpliwości należy stwierdzić, że informacja o objęciu kwarantanną osoby, która była narażona na chorobę zakaźną lub pozostawała w styczności ze źródłem biologicznego czynnika chorobotwórczego, stanowi dane dotyczące zdrowia tej osoby, z uwagi na ryzyko zachorowania. Bez znaczenia w tym kontekście pozostaje fakt, czy osoba wykazuje objawy chorobowe, czy też nie.
W związku z powyższym należy stwierdzić, że U. Sp. z o.o. z siedzibą w G., jako administrator, przetwarzała w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679 dane osobowe dotyczące: nazwy miejscowości, nazwy ulicy, numeru posesji/lokalu oraz dane dotyczące stanu zdrowia. Wobec tego Spółka jest adresatem obowiązków wynikających z przepisów rozporządzenia 2016/679.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679 dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia.
Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania).
Stosownie do art. 32 ust. 1 lit. d rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, 32 ust. 1 czy 32 ust. 2 rozporządzenia 2016/679. Każde zmiany prawne i organizacyjne, wpływające na procesy przetwarzania danych osobowych, są okolicznościami, na które w sposób szczególny administrator powinien zwracać uwagę, a wszelkie istotne zmiany w tym zakresie poprzedzić stosowną analizą. Kontekst przetwarzania jest czynnikiem, do którego administrator musi się odnieść w procesie określania prawdopodobieństwa i powagi ryzyka naruszenia praw lub wolności osób fizycznych (motyw 78 rozporządzenia 2016/679). W niniejszej sprawie okoliczności związane z przetwarzaniem przedmiotowych danych osobowych objętych naruszeniem dotyczą ogólnoświatowego zagrożenia i poczucia strachu związanego z sytuacją epidemiologiczną. Taka sytuacja społeczna i potencjalne szkody dla osoby fizycznej związane z ujawnianiem informacji z nią związanych są jednym z elementów jakie administrator powinien uwzględniać w analizie ryzyka (motyw 75 rozporządzenia 2016/679). Jak już wyżej uzasadniono, adres wraz z informacją o przebywaniu na kwarantannie medycznej stanowi o zaklasyfikowaniu upublicznionych danych, jako danych szczególnej kategorii. W związku ze wskazanym kontekstem, administrator powinien mieć w szczególności na względzie ryzyko związane z niedogodnościami trudnymi do przezwyciężenia, takimi jak dyskryminacja, ostracyzm społeczny, poczucie napiętnowania, stres, czy potencjalne straty materialne związane z negatywną reakcją społeczności, w której dana osoba funkcjonuje. Wystąpienie takich zagrożeń z uwagi na występującą skalę epidemii, w ocenie Prezesa UODO, jest dla każdego administratora wysoce przewidywalne i powinno być brane pod uwagę jako jeden z czynników wymaganych przez rozporządzenie 2016/679 w procesie oceny adekwatności środków technicznych i organizacyjnych mających na celu prawidłowe zabezpieczenie przetwarzania danych osobowych.
Administrator mimo wyrażonego stanowiska, iż przedmiotowe dane nie stanowią danych pozwalających zidentyfikować osobę fizyczną, jak wskazał w wyjaśnieniach, zdecydował się na ich ochronę, m.in. przedstawiając analizę ryzyka z […] marca 2020 r. odnoszącą się do wykazów miejsc kwarantanny na terenie miasta oraz gminy G.. W piśmie z […] września 2020 r. Spółka ponadto wskazała, że wniosek z tej analizy wskazuje na średni poziom ryzyka utraty poufności tych danych oraz nie stwierdzono dużego prawdopodobieństwa możliwości spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Jak wynika z przekazanej analizy ryzyka, administrator wskazując na zagrożenia w postaci naruszenia poufności danych na poziomie średnim, odnosi się do pozycji zatytułowanej „wykradnięcie lub wyniesienie danych przez pracowników lub współpracowników”. Dla tego zagrożenia wskazane zostały zabezpieczenia w postaci zobowiązania pracowników do przestrzegania procedur, podpisania oświadczeń lub umów o zachowaniu poufności, oświadczeń o zapoznaniu się z przepisami o ochronie danych osobowych, podpisania stosownych upoważnień, okresowych szkoleń z zakresu danych osobowych, a także wyposażenie pomieszczeń w system alarmowy antywłamaniowy i szyfrowanie danych.
Wobec tak sformułowanych zapisów w analizie ryzyka, Prezes UODO, w zawiadomieniu o wszczęciu postępowania oraz powtórnie w piśmie z […] września 2020 r., wezwał Spółkę do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, przeprowadziła analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej (w tym przechowywania na biurku) pod kątem zagrożeń związanych z utratą poufności tych danych oraz do poinformowania jaki był wynik tej analizy, lub do wskazania powodów odstąpienia od jej wykonania, wskazując, że analiza przedstawiona w piśmie Spółki z […] września 2020 r. nie odnosi się w swojej treści do tej kwestii.
U. Sp. z o.o. z siedzibą w G. w piśmie z […] września 2020 r. oświadczyła, że w analizie uwzględniono okoliczności związane z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w Spółce oraz okoliczności związane w wykradnięciem lub wyniesieniem danych przez pracowników lub współpracowników. W obu tych przypadkach wzięto pod uwagę sposoby zabezpieczania danych biorąc pod uwagę kanały ich dystrybucji, tj. korespondencję e-mailową oraz wydruki. W każdym z tych przypadków, tak samo jak i w przypadku przetwarzania innych danych, krąg osób przetwarzających ww. wykazy na każdym etapie ich dystrybucji został ograniczony do niezbędnego minimum oraz stosowane były pozostałe zasady wynikające z Polityki Bezpieczeństwa Informacji.
W ocenie Prezesa UODO, wskazane w analizie przez administratora środki zabezpieczające mają charakter sformułowań ogólnych i nie odnoszą się do konkretnych zdarzeń związanych z podejmowanymi przez upoważnionych pracowników czynnościami. W niniejszej sprawie do naruszenia poufności przetwarzanych danych doszło w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik, będący kierowcą, utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie. Kierowca ten miał zostać poinformowany przez osobę nadzorującą wydrukowany wykaz, czy w ramach wykonywanej przez niego pracy, odpady mają być odbierane z miejsc, które widnieją na wyżej wskazanym wykazie.
W powyższych okolicznościach pracownik nie był odbiorcą całego wykazu, który nadzorowany był przez wyznaczonego pracownika, w związku z czym należy stwierdzić, że administrator stosował zasadę minimalizacji, gdyż do wykonywania czynności służbowych kierowcy, niezbędnym zakresem informacji, jakimi musiał dysponować, były tylko te adresy zamieszkania, z których odbierane są przez niego odpady.
Mając na względzie te okoliczności oraz przeprowadzoną przez administratora analizę, należy oczekiwać, że administrator wdrażając procedurę przekazywania takich informacji dokona szczegółowej analizy np. zasadności dokonywania wydruku takiego wykazu, a jeśli się na niego zdecyduje, wówczas dokona stosownej analizy środków organizacyjnych i technicznych, które mają ograniczać ryzyko naruszenia poufności danych zawartych w wykazie. W piśmie z […] maja 2020 r. Spółka przedstawiła wyciąg z polityki bezpieczeństwa informacji z […] maja 2018 r., której częścią jest lista fizycznych, technicznych i organizacyjnych środków ochrony danych osobowych stosowanych przez administratora danych. W ramach środków fizycznych wskazano m.in., że w przypadku przetwarzania zbiorów danych tradycyjnie (ręcznie) w pomieszczeniu, w którym mogą przebywać osoby nieupoważnione do przetwarzania takich danych (np. interesanci albo inni pracownicy) przetwarzanie przeprowadza się w taki sposób aby osoby nieupoważnione nie miały wglądu do tych danych. Do tych zapisów oraz do całej polityki odnoszą się oświadczenia o poufności oraz upoważnienia do przetwarzania danych wydawane pracownikom przez administratora. Mając na względzie, że zapisy te w dużej mierze mają charakter ogólny, nie mogą być ocenianie jednoznacznie pod kątem zastosowania adekwatnych środków technicznych i organizacyjnych w ramach procesu przetwarzania danych znajdujących się na wykazie adresów osób przebywających na kwarantannie.
W ocenie Prezesa UODO, w analizie ryzyka, administrator powinien uwzględnić zarówno szczególny charakter przetwarzanych danych, na co już wyżej Prezes UODO wyraźnie wskazał, a także czynnik ludzki, który jest jednym ze źródeł ryzyka w procesie przetwarzania danych osobowych, zgodnie z art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679 i jest podstawowym elementem odzwierciedlającym immamentną istotę systemu ochrony danych osobowych. Wspominając o czynniku ludzkim należy mieć na myśli m.in. lekkomyślność (bezpodstawne przypuszczenie, iż żadna szkoda nie nastąpi) lub niedbalstwo (pracownik nie przewiduje możliwości powstania szkody, choć w okolicznościach sprawy mógł i powinien przewidzieć jej powstanie). Jak wskazuje się w orzecznictwie, dla stosunków pracy typowe jest wyrządzenie szkody z winy nieumyślnej, które jest zazwyczaj skutkiem braku należytej staranności pracownika w wykonywaniu obowiązków pracowniczych (zob. wyroki Sądu Najwyższego z dnia 9 marca 2010 r., I PK 195/09 i z dnia 9 lutego 2016 r., II PK 316/14). Z tego względu administrator, zgodnie z podejściem opartym na ryzyku wynikającym z przepisów rozporządzenia 2016/679, powinien minimalizować i ograniczać możliwości naruszenia praw lub wolności osób fizycznych, których dane przetwarza, w szczególności w wyniku lekkomyślności czy niedbalstwa. W sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, odnosi się to zarówno do pracownika, któremu zlecono nadzór nad danymi osobowymi w danym dniu jak i pracownika, któremu ograniczony zakres informacji miał zostać przekazany. Ponadto administrator powinien brać pod uwagę również szczególny kontekst sytuacji (stan zagrożenia epidemiologicznego) oraz możliwości jakimi dysponuje potencjalna osoba podejmująca się działań, nawet lekkomyślnych, mogących narazić przetwarzane dane na naruszenie poufności i utratę kontroli przez administratora nad przetwarzanymi danymi. Prezes UODO wskazuje, że podejście oparte na ryzyku, które wprowadziło rozporządzenie 2016/679, zobowiązuje administratora do samodzielnego przeprowadzenia szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonania oceny ryzyka, a następnie zastosowania takich środków i procedur, które będą adekwatne do oszacowanego ryzyka (patrz wyrok Wojewódzkiego Sądu Administracyjnego z 3 września 2020 r. sygn. akt. II SA/Wa 2559/19). Jednakże wskazanie przez Spółkę na średni poziom ryzyka utraty poufności tych danych oraz brak stwierdzenia dużego prawdopodobieństwa możliwości spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych nie zwalnia administratora z dalszego monitorowania danego ryzyka i podejmowania dalszych działań w celu minimalizacji potencjalnych niepożądanych skutków, gdyż tylko takie podejście pozwala zachować poziom bezpieczeństwa umożliwiający w znacznym stopniu ograniczyć prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych.
W związku z powyższym, zapisy w analizie ryzyka odnoszące się w dużej mierze wyłącznie do podpisania przez pracowników stosownych oświadczeń i dokumentów są w ocenie Prezesa UODO niewystarczające i nieadekwatne do ryzyk związanych z przetwarzaniem, jak wyżej wskazano, danych szczególnej kategorii, jakim są adresy osób znajdujących się na kwarantannie.
W ocenie Prezesa UODO, administrator nie przeprowadził pełnej oceny, czy stopień bezpieczeństwa jest odpowiedni, z uwzględnieniem w szczególności ryzyka nieuprawnionego ujawnienia przetwarzanych danych osobowych, co stanowi naruszenie art. 32 ust. 2 rozporządzenia 2016/679. Ponadto administrator powinien uprzednio dokonać analizy, z uwzględnieniem kryteriów wskazanych w art. 25 ust. 1 rozporządzenia 2016/679, czy wdrażany środek jest skuteczny i nadaje przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi przepisów rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą, co w konsekwencji stanowi o naruszeniu tego przepisu. Jednorazowa i pobieżna w ocenie Prezesa UODO analiza dotycząca przekazywania informacji stanowiących przedmiot naruszenia ochrony danych osobowych, stanowi również o braku ze strony administratora podejmowania działań mających na celu m.in. zapewnienie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. d rozporządzenia 2016/679, będących odzwierciedleniem środków mających na celu zapewnienie realizacji naruszonej przez administratora zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679.
W myśl art. 4 pkt 12 rozporządzenia 2016/679 naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Artykuł 33 ust. 1 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W ocenie Prezesa UODO, administrator powinien stwierdzić naruszenie ochrony danych osobowych przed pierwszym pismem organu nadzorczego z […] kwietnia 2020 r. Przemawia za tym wiele okoliczności wynikających z materiału zgromadzonego w toku postępowania. We wspomnianym piśmie Prezes UODO wezwał Spółkę do udzielenia informacji, czy znany jest jej incydent opisany pod adresem […]. W odpowiedzi z […] maja 2020 r. wskazano, że Spółce znane są doniesienia medialne, o których mowa w artykule dostępnym pod ww. adresem. We wskazanym artykule, oznaczonym datą publikacji […] kwietnia 2020 r. […], znajdują się zanonimizowane zdjęcia kilkustronicowego dokumentu będącego wykazem danych, którymi dysponuje m.in. Spółka. Wszystkie podmioty dysponujące takimi danymi, z wyjątkiem Spółki, w sposób niebudzący wątpliwości wykazały, że w wyniku przeprowadzonych wewnętrznych postępowań wyjaśniających nie stwierdziły w swoich organizacjach naruszenia ochrony danych osobowych dotyczącego ujawnienia danych osób, które są na kwarantannie. Ponadto jak wynika z informacji pracodawcy o wymierzeniu pracownikowi kary porządkowej – kary nagany oraz rozwiązania umowy o pracę bez wypowiedzenia z kierowcą, załączonych do pisma Spółki z […] maja 2020 r., pracodawca podjął informację o zdarzeniu […] kwietnia 2020 r. Jak wynika z wytycznych Grupy Roboczej Art. 29 - Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, przyjętych w dniu 3 października 2017 r., podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa lub wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby okazać się nadmierna. Taka sytuacja bez wątpienia miała miejsce w sprawie będącej przedmiotem rozstrzygnięcia w niniejszej decyzji. Spółka w piśmie z […] maja 2020 r. stwierdziła, że nie można przesądzić, iż naruszenia obowiązków pracowniczych wypełniają znamiona naruszenia ochrony danych osobowych.
W ocenie Prezesa UODO, wyżej wskazane błędne postrzeganie sytuacji naraziło osoby znajdujące się pod ujawnionymi adresami na negatywne konsekwencje, wynikające z nierespektowania przepisów o ochronie danych osobowych przez administratora, w tym obowiązku zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych.
Jak wskazuje motyw 85 rozporządzenia 2016/679 przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
W sprawie będącej przedmiotem rozstrzygnięcia w niniejszej decyzji, doszło do naruszenia ochrony danych osobowych przetwarzanych przez U. Sp. z o.o. z siedzibą w G., polegającego na udostępnieniu osobom nieuprawnionym danych osobowych dotyczących: nazwy miejscowości, ulicy, numeru posesji/lokalu oraz danych dotyczących stanu zdrowia. Na podstawie przytoczonych już wyżej argumentów, należy stwierdzić, że ujawnienie wskazanych kategorii danych bezsprzecznie skutkowało ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną, a wynikiem błędnego postrzegania sytuacji było niezastosowanie się przez administratora do obowiązków wynikających z art. 33 i 34 rozporządzenia 2016/679, mimo świadomości przetwarzania informacji, których ujawnienie może mieć negatywny wpływ na prawa lub wolności osób fizycznych.
W związku z powyższym, administrator był zobligowany do notyfikowania zaistniałego naruszenia Prezesowi UODO na podstawie art. 33 ust. 1 rozporządzenia 2016/679, jednak nie wywiązał się z tego obowiązku naruszając powołany przepis.
Ponadto art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Stosownie do art. 34 ust. 3 lit. c rozporządzenia 2016/679 administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą. Kierując się koniecznością skutecznego przekazania informacji osobom, których dane dotyczą, bez narażania tych osób na identyfikację, administrator w przedmiotowej sprawie, w ocenie Prezesa UODO, powinien wykorzystać datę wydruku wykazu adresów, jako kryterium określenia adresatów komunikatu (osób przebywających w tym dniu na kwarantannie medycznej).
Rozważając zastosowanie komunikatu, jako formy przekazania informacji o naruszeniu podmiotom danych, należy mieć na względzie wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01), tj. „administratorzy powinni wybierać metody pozwalające zapewnić jak największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W niektórych okolicznościach może to oznaczać, że administrator wykorzysta szereg metod komunikacji, a nie tylko jeden kanał kontaktowy”. Zauważyć więc należy, że administrator danych nie musi ograniczać się wyłącznie do jednej formy zawiadomienia, ale może wykorzystać w każdym indywidualnym przypadku taką formę, która zapewnia skuteczne zawiadomienie osób fizycznych o wystąpieniu naruszenia. Komunikat na stronie internetowej powinien być widoczny bezpośrednio na stronie internetowej, bez konieczności otwierania dodatkowych podstron. W przedmiotowej sprawie zasadnym jest również wykorzystanie innych kanałów komunikacji, np. portale społecznościowe, lokalne witryny internetowe, ogłoszenia w gazetach.
Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:
- jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
- zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679 (patrz tabela), czyli:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Stosownie do art. 34 ust. 4 rozporządzenia 2016/679 jeżeli administrator nie zawiadomił jeszcze osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3 tego artykułu.
U. Sp. z o.o. z siedzibą w G. nie dokonała oceny ryzyka naruszenia praw lub wolności osób fizycznych i nie zawiadomiła osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Tymczasem uzyskanie informacji przez administratora o zaistnieniu naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679, obliguje go do przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta umożliwia stwierdzenie, czy konieczne jest dopełnienie przez administratora obowiązków wynikających z art. 33 ust. 1 rozporządzenia 2016/679 (zgłoszenie naruszenia organowi nadzorczemu) oraz z art. 34 ust. 1 rozporządzenia 2016/679 (zawiadomienie osoby, której dane dotyczą, o naruszeniu).
W wyniku przeprowadzonej analizy naruszenia ochrony danych osobowych, w której wzięto pod uwagę charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze - Prezes Urzędu Ochrony Danych Osobowych uznał, że naruszenie poufności danych, w szczególności danych dotyczących: nazwy miejscowości, ulicy, numeru posesji/lokalu oraz danych dotyczących stanu zdrowia w postaci informacji o objęciu osoby kwarantanną medyczną, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest na podstawie art. 34 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018).Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się.
Zaistniałe naruszenie ochrony danych osobowych powinno być dla administratora impulsem do zrewidowania przyjętych procedur w celu ich aktualizacji i ewentualnego doprecyzowania, o czym Spółka wspomniała w pkt 4 pisma z […] września 2020 r. Zasadnym jest wzięcie pod uwagę czynnika ludzkiego, na który Prezes UODO zwrócił uwagę w niniejszej decyzji i ograniczenie tym samym sposobności do przetwarzania danych osobowych niezgodnie z przyjętym w organizacji zasadami. Za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia należy uznać podjęcie działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników. Powyższe okoliczności, w ocenie Prezesa UODO, nie mają wpływu na ostateczny zarzut naruszenia przepisów rozporządzenia 2016/679 wskazanych w sentencji decyzji. Wobec powyższego Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy właściwym środkiem naprawczym będzie udzielenie U. Sp. z o.o. z siedzibą w G., na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, upomnienia za brak realizacji obowiązków określonych w art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. W ocenie Prezesa UODO, nałożone upomnienie będzie miało również charakter prewencyjny, czyli zapobiegnie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez U. Sp. z o.o. z siedzibą w G., jak i innych administratorów danych.
Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Informuję, że stosownie do art. 41 Kpa, w toku postępowania strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swego adresu. W razie zaniedbania tego obowiązku, doręczenie pisma pod dotychczasowym adresem ma skutek prawny.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.