Kara upomnienia za ujawnienie listy osób przebywających na kwarantannie

Prezes UODO nałożył karę upomnienia na spółkę, która zajmuje się gospodarką odpadami. Dodatkowo nakazał jej zawiadomić osoby, których ochrona danych została naruszona. Powodem jego działania było przeprowadzenie z urzędu postępowania, które związane było z naruszeniem ochrony danych osób przebywających na kwarantannie polegającym na udostępnieniu nieuprawnionym odbiorcom listy z adresami zamieszkania tych osób.

Publiczne ujawnienie listy osób poddanych kwarantannie

UODO otrzymało pismo z informacją o publicznym ujawnieniu listy osób objętych kwarantanną. Nadawcą tego dokumentu był Państwowy Powiatowy Inspektor Sanitarny w Gnieźnie. Lista zawierała adresy zamieszkania osób przebywających na kwarantannie obowiązkowej z powodu przekroczenia granicy kraju, osób na kwarantannie orzeczonej decyzją administracyjną Sanepidu oraz osób objętych izolacją domową. UODO wezwało administratora danych spółki do złożenia wyjaśnień odnośnie tego, czy przeprowadził on analizę sposobu dystrybucji danych tych osób. Spółka oświadczyła, że analiza została przeprowadzona z uwzględnieniem wszystkim okoliczności związanych z przetwarzaniem danych, w tym okoliczności związanych z wykradnięciem czy wyniesieniem danych. Dodatkowo zdaniem administratora lista zawierała tylko adresy policyjne, bez uwzględnienia nazwisk i imion, które pozwalają na zidentyfikowanie osoby fizycznej.

Kara upomnienia dla spółki za naruszenie ochrony danych osób przebywających na kwarantannie

UODO uznał, że dane dotyczące nazwy miejscowości, ulicy, numeru budynku osoby poddanej kwarantannie medycznej stanowią dane osobowe szczególnej kategorii – zgodnie ze wdrożonym RODO. Ponadto na podstawie takich informacji można zidentyfikować osobę, której dane dotyczą. UODO wskazał także, że do naruszenia ochrony danych doszło podczas wykonywania obowiązków pracowniczych przez osobę odpowiedzialną za nadzór nad wydrukowaną listą, która została pozostawiona na biurku bez nadzoru.

W wyniku czego doszło do wycieku danych, bo inny pracownik zrobił zdjęcie danej listy i udostępnił je innej osobie. Zdaniem UODO w analizie ryzyka przedstawionej przez spółkę, wskazane środki zabezpieczające są ogólne i nie odnoszą się do zdarzeń związanych z czynnościami podejmowanymi przez upoważnionych pracowników. Zapisy analizy ryzyka, w tym podpisane oświadczenia i dokumenty przez pracowników są niewystarczające oraz nieadekwatne do ryzyka związanego z przetwarzaniem danych takiej kategorii. Ponadto w analizie powinien być uwzględniony szczególny charakter naruszonych danych, jak również czynnik ludzki – niedbalstwo, lekkomyślność czy brak należytej staranności. Istotne jest również to, żeby w sytuacji wysokiego ryzyka naruszenia ochrony danych, jak najszybciej powiadomić osobę, której dane mogły być naruszone. Spółka nie wykonała takiego zawiadomienia.

W związki z powyższym Prezes UODO stwierdził, że przez Spółkę naruszone zostały przepisy wdrożonego RODO i dlatego udzielił jej upomnienia i nakazał zawiadomić osoby, że ochrona ich danych została naruszona

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Menu