Do UODO wpłynęła wiadomość od osoby trzeciej informująca, że udostępniono jej jako osobie nieuprawnionej informacje dotyczące członka spółdzielni mieszkaniowej.
Jak wykazano w postępowaniu przeprowadzonym z urzędu przed organem nadzorczym do zdarzenia doszło podczas konferencji prasowej, podczas której osobie nieuprawnionej administrator udostępnił informacje o sporze między nim a członkiem spółdzielni, w tym kserokopię zawiadomienia o podejrzeniu przestępstwa wraz z takimi danymi osobowymi, jak imię, nazwisko, numer PESEL oraz adres zamieszkania.
Sprawę tę administrator odnotował w wewnętrznym rejestrze naruszeń, a po analizie ryzyka naruszenia praw lub wolności, uznał je za niskie.
WZORY DOKUMENTÓW:
- Rejestr naruszeń ochrony danych osobowych >
- Postępowanie w przypadku naruszenia ochrony danych osobowych >
Zgłoszenie naruszenia
Każdy administrator w przypadku wystąpienia naruszenia ochrony danych osobowych jest zobowiązany w terminie 72 godzin od jego stwierdzenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
- Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >
Administrator dokonuje analizy ryzyka pod kątem wystąpienia naruszenia praw lub wolności osób fizycznych, a gdy przeprowadzona analiza wskazuje co najwyżej na małe prawdopodobieństwo wystąpienia ryzyka, administrator może zwolnić się z obowiązku powiadomienia organu nadzorczego o zdarzeniu i odnotować je w wewnętrznym rejestrze naruszeń. Należy wskazać, że analiza ta powinna brać pod uwagę wszelkie zagrożenia dla podmiotu danych, a nie interesy administratora. W tej konkretnie sprawie administrator, mimo udostępnienia dokumentu z danymi w postaci imienia, nazwiska, numeru PESEL i adresu zamieszkania, nie wykazał dokonania pogłębionej analizy, a przekazał organowi nadzorczemu w tym zakresie jedynie ogólny dokument nie odnoszący się do tego konkretnego przypadku. Zdaniem Urzędu, w tej sprawie nie wystąpiły czynniki obniżające poziom prawdopodobieństwa wystąpienia negatywnych skutków. Podmiotowi nieuprawnionemu udostępniono dokument zawierający dane osobowe członka spółdzielni. Nie jest istotne, czy osoba ta faktycznie dokonała czynów, o których mowa w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby doszło do potwierdzenia zasadności podnoszonych zarzutów, to nie oznacza, że osoba ta nie powinna podlegać ochronie.
W sytuacji gdy występuje wysokie ryzyko dla praw lub wolności osób fizycznych, administrator zobowiązany jest także o zdarzeniu powiadomić osobę, której dane objęto naruszeniem. Gdy ryzyko jest wysokie, konieczne jest powiadomienie podmiotu danych
W ocenie UODO, biorąc pod uwagę udostępnienie danych osobowych, administrator powinien zawiadomić podmiot danych o zaistniałym naruszeniu. Administrator powinien wskazać osobie, której dane dotyczą, wystąpienie ewentualnych negatywnych konsekwencji. Zestawienie takich danych, jak ujawniane imię, nazwisko czy numer PESEL jest wystarczające do podszycia się pod tę osobę i np. zaciągnięcia zobowiązań pieniężnych. Dlatego osoba pokrzywdzona powinna tym bardziej zostać poinformowana o zaistniałym naruszeniu. Mimo że negatywne konsekwencje się nie zmaterializowały, to ważna jest sama możliwość ich wystąpienia.
Sprawdź w LEX:
- -> Jakich danych może żądać spółdzielnia mieszkaniowa w związku z przystąpieniem do spółdzielni? >
- -> Czy z przepisów RODO wynika obowiązek opracowania polityki bezpieczeństwa informacji po stronie spółdzielni mieszkaniowej? >
- -> Czy zagubienie przez pracownika służbowego telefonu komórkowego, na którym miał zapisane numery innych pracowników, klientów, kontrahentów, aplikację do obsługi poczty e-mail, należy rozpatrywać jako naruszenie ochrony danych osobowych? >
- -> W jaki sposób powinien postąpić wynajmujący, w przypadku gdy najemca rozwiązał umowę i wyprowadził się pozostawiając nośniki, które mogą zawierać dane osobowe? >
- -> Czy rejestr naruszeń ochrony danych osobowych powinien znajdować się w Polityce Bezpieczeństwa Danych Osobowych? >
Cena promocyjna: 89.1 zł
|Cena regularna: 99 zł
|Najniższa cena w ostatnich 30 dniach: 72.27 zł