Prezes UODO nałożył karę na Spółdzielnie Mieszkaniową

Stan faktyczny

Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) w sierpniu 2021 r. wpłynęła od osoby trzeciej informacja wskazująca na udostępnienie jej – jako osobie nieuprawnionej – zawiadomienia o podejrzeniu popełnienia przestępstwa, które ujawniało dane osobowe w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL oraz adresu zamieszkania osoby wskazanej w tym zawiadomieniu (dalej: podmiot danych) przez Spółdzielnie Mieszkaniową (dalej: Administrator lub Spółdzielnia Mieszkaniowa). Osoba trzecia, która jako osoba zawodowo związana z mediami informacyjnymi stała się nieuprawnionym odbiorcą tego dokumentu. Osoba ta wyjaśniła, iż nie wnioskowała o udzielenie tych informacji.

W związku z powyższym, Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), zwrócił się do Administratora o wyjaśnienie, czy w związku z zaistniałą sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym zawarto również informacje o treści art. 33 ust. 1 i 3 RODO oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, Prezes UODO wszczął z urzędu wobec Administratora postępowanie administracyjne w tym przedmiocie. W piśmie tym dodatkowo zwrócono się do Administratora o przedstawienie rejestru naruszeń oraz oceny poziomu ryzyka przeprowadzonej przez Inspektora Ochrony Danych.

Z uzasadnienia decyzji Prezesa UODO

Gdy dojdzie do wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest przeprowadzenie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeżeli w wyniku przeprowadzonego badania okaże się, iż istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 RODO) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 RODO), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem. W przedmiotowej sprawie Administrator nie wykazał jednak, by taka ocena ryzyka w ogóle została dokonana – w reakcji na dwukrotne wezwanie do przedstawienia takiej oceny, przekazał jedynie dokument, który miał charakter ogólny i nie odnosił się do konkretnego (rozpatrywanego w niniejszej decyzji) przypadku naruszenia ochrony danych osobowych podmiotu danych.

Prezes UODO ustosunkował się do wyjaśnień Administratora i wskazał, iż w związku z przedmiotowym naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu zawierającego dane osobowe członkini Spółdzielni Mieszkaniowej, nie jest istotne to, czy osoba ta faktycznie dokonała czynów, o których mowa w złożonym przez Spółdzielnię zawiadomieniu o podejrzeniu popełnienia przestępstwa. choćby gdyby potwierdzono zasadność podnoszonych przez Administratora zarzutów wobec tej osoby, nie oznacza to, iż jej dane osobowe nie powinny podlegać takiej samej ochronie, jak każdej innej osoby fizycznej w podobnej sytuacji. Z późniejszych wyjaśnień Spółdzielni Mieszkaniowej nie wynika, iż podmiot danych sam udostępnił swoje dane osobowe znajdujące się w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nie można więc przyjąć, iż okoliczność taka mogłaby być w ogóle brana pod uwagę przy ocenie schematy postępowania Administratora.

Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a-h oraz lit. j RODO. Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k RODO – wziął pod uwagę następujące okoliczności sprawy.

W sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 RODO oraz art. 34 ust. 1 RODO. Naruszenie to miało znaczącą wagę i poważny charakter. Opisywane zdarzenie może bowiem doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia zostało ocenione jako wysokie.

W omawianej sprawie naruszenie ochrony danych osobowych dotyczyło tylko jednej osoby, ale za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia przez Administratora przepisów RODO. Od powzięcia przez Administratora informacji o naruszeniu do dnia wydania niniejszej decyzji upłynęło kilkanaście miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem mogło się zrealizować, a czemu osoba ta nie mogła przeciwdziałać ze względu na niewywiązanie się przez Spółdzielnię z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia o nim osoby, której dane dotyczą.

Ponadto Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą. Nie ulega wątpliwości, iż Administrator, przetwarzając dane osobowe na masową skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od Administratora ale również od powołanego przez niego inspektora ochrony danych). Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osoby, której dane dotyczą, pomimo faktu, iż Prezes UODO w pierwszej kolejności informował Administratora o obowiązkach ciążących na Administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.

W ocenianej sprawie Prezes UODO uznał współpracę z Administratorem za niezadowalającą. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Administratora choćby po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

Dodatkowo dane osobowe udostępnione osobie nieuprawnionej nie zostały przez Prezesa UODO zakwalifikowane do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże fakt, iż w udostępnionym dokumencie (zawiadomieniu o podejrzeniu popełnienia przestępstwa) zawarto szeroki ich zakres (imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Numer PESEL jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, zdaniem Prezesa UODO, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary.