Naruszenia ochrony danych osobowych należy zgłaszać Prezesowi UODO bez zbędnej zwłoki

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 10 tys. zł na Sąd Okręgowy w Krakowie (dalej również jako Sąd lub administrator) za brak zgłoszenia, organowi nadzorczemu, naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu, bez zbędnej zwłoki osób, których dane dotyczą. Zgodnie z RODO zgłoszenie do organu nadzorczego naruszenia powinno nastąpić nie później niż w terminie 72 godzin od jego stwierdzenia.

Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Ministra Spraw Zagranicznych (dalej również jako MSZ). Dotyczyło ono doręczenia przez operatora pocztowego adresatowi uszkodzonej i niekompletnej przesyłki. Prezes UODO został poinformowany nie przez administratora danych, a przez MSZ, któremu adresat zgłosił nieprawidłowości w jej dostarczeniu.

Po otrzymaniu informacji o naruszeniu MSZ powiadomił organ nadzorczy, iż Konsulat Generalny RP wysłał, na wniosek Sądu Okręgowego w Krakowie, w ramach pomocy prawnej, korespondencję zawierającą dane osobowe za pośrednictwem operatora pocztowego. Konsulat zawiadomił Sąd Okręgowy w Krakowie, czyli administratora danych jako nadawcę przesyłki o doręczeniu adresatowi przez operatora pocztowego uszkodzonej i niekompletnej korespondencji. Sąd jednak, mimo że w przedmiotowej sprawie był administratorem przesyłanych danych, nie zgłosił Prezesowi UODO naruszenia ochrony danych. 

Naruszono ochronę szczególnych kategorii danych

W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych siedmiu osób, przy czym wobec czterech z nich powstało wysokie ryzyko naruszenia ich praw lub wolności z uwagi na zakres naruszonych danych osobowych. Naruszenie objęło numery PESEL, a także informacje o stanie zdrowia powódki oraz opinie psychologiczne dwójki dzieci. Informacje te powiązane z m.in. imionami i nazwiskami oraz kontekstem sprawy rozwodowej mogą powodować utratę kontroli nad danymi, zagrożenia związane z udostępnieniem numeru PESEL, ale również dyskryminację w środowisku tych osób czy naruszania ich dóbr osobistych. Podkreślić również należy łatwość identyfikacji osób, w oparciu o wskazane dane. Okoliczności tych nie wziął pod uwagę administrator przy analizowaniu zdarzenia, choćby wymuszonego wezwaniami przez Prezesa UODO. Sąd ograniczył swoje działania do sprawdzenia w systemie operatora pocztowego , czy były naniesione adnotacje dot. doręczenia korespondencji.

Administrator podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

Prezes UODO wezwał  Sąd do wskazania, czy została przeprowadzona analiza ryzyka naruszenia praw lub wolności osób fizycznych niezbędna dla oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zgłoszenia naruszenia  organowi nadzorczemu oraz powiadomienia osób, których naruszenie dotyczy. Sąd wskazał jednak, że organem właściwym do wykonywania nadzoru nad przetwarzaniem danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, których administratorem są sądy w rozumieniu art. 174da i 175db ustawy Prawo o ustroju sądów powszechnych jest dla Sądu Okręgowego w Krakowie, Prezes Sądu Apelacyjnego w Krakowie. Zdaniem UODO z uwagi na to, że doszło do naruszenia w związku z administracyjną częścią działalności sądu, powinno ono zostać zgłoszone w trybie przewidzianym w art. 33 ust. 1 RODO do Prezesa UODO, jako właściwego organu nadzorczego. Nie bez znaczenia dla sprawy jest także okoliczność, że do kompetencji sądowych organów nadzorczych, o których mowa w art. 175 dd § 1 ustawy Prawo o ustroju sądów powszechnych, nie należy przyjmowanie zgłoszeń naruszeń ochrony danych osobowych, czy też ich merytoryczna ocena.

Okoliczności obciążające

Postępowanie organu wykazało też inne nieprawidłowości związane z naruszeniem. Inspektor ochrony danych Sądu błędnie ocenił poziom ryzyka naruszenia praw lub wolności osób fizycznych. Wskazał bowiem, że fakt, iż dokumenty zostały sporządzone w języku polskim, a wysłane do Wielkiej Brytanii, nie powoduje powstania wysokiego ryzyka w tym zakresie. W ocenie Prezesa UODO, fakt że dokumenty zawierające dane osobowe były sporządzone w języku polskim i wysłane do kraju, gdzie językiem urzędowym jest język angielski, nie obniża poziomu ryzyka. W dobie narzędzi pozwalających na szybkie tłumaczenie dokumentów, jak również z uwagi na fakt, iż w Wielkiej Brytanii spora część mieszkańców posługuje się językiem polskim, błędne jest założenie, że okoliczność ta pozwala na obniżenie poziomu ryzyka.

Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia. Od powzięcia przez administratora informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło 16 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności czterech osób, w stosunku do których wystąpiło takie ryzyko na poziomie wysokim, mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez administratora z obowiązku powiadomienia ich o naruszeniu.

Prezes UODO nakazał administratorowi zawiadomienie, w celu przekazania informacji wymaganych zgodnie z art. 34 ust. 2 RODO, w terminie trzech dni od dnia otrzymania decyzji, czterech osób, których dane zawarte w dokumentach znajdujących się w uszkodzonej przesyłce pocztowej, były szczególnie narażone. Chodzi o wysokie ryzyko naruszenia praw i wolności powódki, pozwanego oraz dwójki ich dzieci.