Prezes Urzędu Ochrony Danych Osobowych, po przeprowadzeniu z urzędu postępowania związanego z naruszeniem ochrony danych osobowych osób objętych kwarantanną medyczną poprzez udostępnienie nieuprawnionym odbiorcom listy zawierającej adresy zamieszkania osób objętych kwarantanną medyczną, nałożył karę upomnienia na spółkę zajmującą się gospodarką odpadami oraz nakazał zawiadomienie o naruszeniu osób, których dane dotyczą.
Przypomnijmy, że do Urzędu Ochrony Danych Osobowych wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie (zwanego dalej „PPIS w Gnieźnie”) z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem koronawirusa SARS-CoV-2.
Po zapoznaniu się z całością zebranego materiału w tej sprawie, Urząd zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia. Na podstawie powyższych danych osobowych jest możliwa identyfikacja osób, których one dotyczą, a zatem administrator podlega obowiązkom wynikającym z RODO. UODO zważył również, że do naruszenia poufności przetwarzanych danych doszło w toku wykonywania obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił innej osobie.
Art. 33 ust. 1 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Spółka miała obowiązek zgłoszenia zaistniałego naruszenia Prezesowi UODO, czego jednak nie uczyniła.
Co więcej, w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą.
Ujawnienie nieuprawnionym odbiorcom danych osobowych dotyczących adresów zamieszkania oraz danych dotyczących stanu zdrowia bezsprzecznie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób objętych kwarantanną medyczną. Mimo to Spółka nie zawiadomiła osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
(cyt. za https://uodo.gov.pl/pl/138/1772)