Straż Miejska w Warszawie - jej inspektor ochrony danych osobowych Małgorzata Kumor - zgłosił naruszenie do UODO. Naruszenie polegało na niezgodnym z prawem zabezpieczeniu 24 notatników służbowych, obejmujących lata 2013-2016 strażników miejskich pracujących w regionie VII Straży Miejskiej w Warszawie, co spowodowało ich ujawnieniem przez dozorcę w wiacie śmietnikowej osiedla.

W notatnikach służbowych znajdowały się: imię, nazwisko, imiona rodziców, PESEL, nr dowodu osobistego, adres zamieszkania, opis czynu zabronionego, nr prawa jazdy oraz informacje o zastosowaniu sankcji.

Jest ryzyko kradzieży danych

Straż Miejska przyznaje, że to zdarzenie powoduje wysokie ryzyko naruszenia praw i wolności obywatelskich. Uzyskane przez osoby niepowołane dane mogą spowodować uzyskanie kredytów w instytucjach pozabankowych – informuje Zbigniew Leszczyński, komendant Straży Miejskiej.

Straż radzi założenie konta w systemie BIK, tak by móc kontrolować swoją zdolność kredytową. Nie uspakaja też informacja, że Straż Miejska zapoznała pracowników odpowiadających za zabezpieczenie dokumentacji z zasadami ochrony danych osobowych.

Biuro prezesa Urzędu Ochrony Danych Osobowych potwierdza, że pod koniec lipca wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Komendanta Straży Miejskiej m.st. Warszawy. Zgłoszenie to jest obecnie analizowane przez Urząd. Ewentualne kolejne działania UODO będą uzależnione od dalszych informacji przekazanych przez Komendanta.

Zgłaszanie jest normą

Adam Sanocki nie gwarantuje jednak, że do przestępstwa wykorzystania tych danych nie dojdzie. Nie chce też wypowiadać się, czy Staż Miejska poniesie karę. - Trzeba zgłaszać te z incydenty w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą - radzi Adam Sanocki, rzecznik Urzędu. - Chodzi tu np. o sytuacje, które mogą prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą.

Celem zgłaszania naruszeń Prezesowi UODO w ciągu 72 godzin jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić - wyjaśnia Sanocki.

W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko Prezesa UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką  konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.