Prokuratura zapłaci 20 tys. zł za udostępnienie niezanonimizowanych danych dziennikarzowi
WSA w Warszawie oddalił skargę Prokuratury Rejonowej w Gorlicach na decyzję Prezesa UODO, w której organ nadzorczy nałożył na administratora karę w wysokości 20 tys. zł. Prokuratura przekazała w trybie dostępu do informacji publicznej dane, które nie zostały uprzednio zanonimizowane. Nie pomogło tłumaczenie prokuratury, że naruszenie dotyczyło tylko trzech osób, a dane trafiły do dziennikarza, który sam je zanonimizował przed publikacją dokumentów.
Powodem zastosowania sankcji przez Prezesa UODO było niezgłoszenie do organu nadzorczego naruszenia ochrony danych osobowych oraz niezawiadomienie osób, objętych tym incydentem.
To nic, że ujawniono dane tylko trzech osób - to też naruszenie RODO
Naruszenie polegało na przekazaniu dziennikarzowi w trybie dostępu do informacji publicznej dokumentów, w których były dane trzech osób. Prezes UODO nie kwestionował samego udostępnienia dokumentacji w trybie dostępu do informacji publicznej, ale to, że przy jej udostępnieniu administrator nie zachował zasad z zakresu ochrony danych osobowych i nie zanonimizował przekazywanych dokumentów.
Przed Sądem Prokuratura podnosiła argumenty, że naruszenie nie wiązało się z wysokim ryzykiem dla praw lub wolności osób (np. kradzież tożsamości), gdyż dotyczyło tylko trzech osób, a dane otrzymał tylko jeden dziennikarz, który sam je zanonimizował przed publikacją dokumentów. Zdaniem skarżącego działanie dziennikarza świadczyło o tym, że nie miał on zamiaru skorzystać z tych danych w celach przestępczych lub udostępniać ich innym osobom. Stąd zdaniem Prokuratury nie było konieczności zgłaszania naruszenia Prezesowi UODO, gdyż nie istniało wysokie ryzyko naruszenia praw i wolności dla osób, których dotyczyło naruszenie.
Argumenty te nie przekonały WSA w Warszawie. Sąd uznał, że skarżący próbuje w ten sposób umniejszyć rozmiar naruszenia. Tymczasem zakres ujawnionych danych był szeroki i obejmował m.in. imiona, nazwiska, adresy, numery PESEL, numery dokumentów tożsamości. Wśród tych informacji były także dane małoletniego, w tym o jego stanie zdrowia.
W ocenie WSA w Warszawie organ nadzorczy słusznie uznał za okoliczność obciążającą Prokuraturę czas trwania naruszenia. Od momentu otrzymania informacji o naruszeniu przez administratora do czasu wydania decyzji Prezesa UODO upłynęło 27 miesięcy. Zdaniem Sądu w tym czasie ryzyko naruszenia praw lub wolności osób, których dane ujawniono, mogło się zmaterializować. Ponadto osoby te nie mogły przeciwdziałać takiemu zagrożeniu z uwagi na to, że Prokuratura nie wywiązała się z obowiązku powiadomienia tych osób o naruszeniu.
Prezes UODO w decyzji, którą podtrzymał WSA w Warszawie, oprócz kary pieniężnej zastosował także nakaz powiadomienia osób o tym naruszeniu.
Czytaj też: 10 tys. kary dla sądu, bo niedostatecznie chronił dane osobowe >
