W sprawie ujawnienia danych kobiety prezes UODO ukarał już komendanta głównego policji w innym postępowaniu, wszczętym na skutek skargi osoby, której dane dotyczą. Wykazał przy tym, że policja nie może tłumaczyć się z ujawnienia danych osobowych jedynie na tej podstawie, że ma prawo je pozyskiwać w toku prowadzonych postępowań.
W sprawie komendanta miejskiego w Krakowie prezes UODO zbadał także, w jaki sposób doszło do samego incydentu. O tym, że do niego doszło, poinformował prezesa UODO sam komendant, będący administratorem danych. W zakresie zgłoszenia incydentu naruszenia danych osobowych działał zgodnie z normami postępowania określonymi w RODO. Prezes UODO poprosił o dodatkowe wyjaśnienia i następnie wszczął postępowanie z urzędu.
Policja ujawniała dane szczególnej kategorii
Prezes UODO ustalił, że informacje umożliwiające identyfikację kobiety rzeczywiście najpierw ujawniono w reportażu wyemitowanym w ogólnopolskiej telewizji, gdzie ona sama udostępniła swoje imię i wizerunek.
Jednak w komunikacie prasowym policji, w którym zaprezentowała ona swoje stanowisko w sprawie, znalazły się dodatkowe informacje o przebiegu zdarzenia, w tym dane osobowe szczególnych kategorii. Należały do nich m.in. informacje o stanie psychofizycznym i zachowaniu osoby fizycznej w trakcie interwencji policji, informacje o ocenach osób trzecich (funkcjonariuszy policji) na temat osoby fizycznej, informacje o stanie zdrowia i leczeniu osoby fizycznej, w tym o stanie zdrowia psychicznego, leczeniu psychiatrycznym, zażywanych środkach medycznych, zdrowiu reprodukcyjnym, sposobie zakupu środków medycznych czy nawykach zdrowotnych wpływających na stan psychofizyczny oraz informacje o podejrzeniu naruszenia prawa, w tym o czynach mogących stanowić czyny zabronione.
Po godzinie policja zmodyfikowała treść udostępnionego przez nią komunikatu. Nadal były tam jednak dane osobowe, tyle że w ograniczonym zakresie. Komunikat w dalszym ciągu podawał informacje o stanie zdrowia, w tym o stanie zdrowia psychicznego, przebiegu leczenia, zażywanych środkach medycznych, sposobie zakupu środków medycznych czy nawykach zdrowotnych wpływających na stan psychofizyczny.
O tym, że doszło do naruszenia ochrony danych osobowych komendant miejski policji dowiedział się od pełnomocniczki reprezentującej kobietę i następnie powiadomił prezesa UODO o zaistniałym incydencie. Stwierdził przy tym, że publikacja miała charakter niezamierzony, a do incydentu doszło w wyniku „pośpiechu i nieuwagi pracowników KMP”. Dane osobowe kobiety zostały przez nich pozyskane z Systemu Wspomagania Dowodzenia Policji (SWD). Przyznał również, że naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Aby zminimalizować negatywne konsekwencje, Komendant nakazał usunięcie komunikatu ze strony internetowej. Zgodnie z prawem Komendant zawiadomił o zaistniałej sytuacji również osobę, której dotyczyło naruszenie.
Obowiązku administratora danych
Na komendancie jako administratorze spoczywał obowiązek przestrzegania zasad i reguł obowiązujących w zakresie przetwarzania danych osobowych. Jednak – jak wykazało postępowanie przeprowadzone przez prezesa UODO – zespół prasowo-informacyjny komendanta przetwarzał dane osobowe bez wcześniejszego uwzględnienia ryzyka dla praw lub wolności osób. Natomiast stosowane środki techniczne i organizacyjne nie były regularnie testowane i aktualizowane oraz ich skuteczność nie była systematycznie oceniana. Tym samym stosowane środki okazały się nieskuteczne, co stało się przyczyną naruszenia ochrony danych osobowych.
Nie można również uznać, że incydent był efektem działań niezamierzonych. Policja ma prawo przetwarzać dane w ramach SWD w ustawowo określonych celach. Jednak dane osobowe pozyskane pierwotnie w ustawowo określonym zakresie zostały następnie udostępnione w komunikacie prasowym, wyrażającym stanowisko komendanta wobec reportażu telewizyjnego, a więc w innym celu, niż ten do którego je pierwotnie pozyskano.
Nadmierne ujawnienie danych z wewnętrznych zasobów policji
Istotą niniejszej sprawy było sięgnięcie przez komendanta do wewnętrznych zasobów w celu ujawnienia danych osobowych, które dotychczas nie funkcjonowały w przestrzeni publicznej oraz ich ujawnienie nie było niezbędne do realizacji celów, w tym w szczególności do wykonywania ustawowych zadań policji. To właśnie wykorzystanie i upublicznienie nadmiarowych, szczególnie wrażliwych informacji o możliwej do zidentyfikowania osobie fizycznej, a nie sam fakt komunikowania się z opinią publiczną, doprowadziły do zaistniałego incydentu naruszenia ochrony danych osobowych.
Do incydentu mogłoby nie dojść, gdyby komendant przeprowadził analizę ryzyka, zidentyfikowałby zagrożenia oraz wprowadził odpowiednie środki techniczne i organizacyjne. Tym samym osoba, której dane osobowe, w tym dane o szczególnie wrażliwym charakterze, zostały udostępnione w publicznie dostępnym komunikacie, nie znalazłaby się na skutek incydentu w potencjalnie niebezpiecznej sytuacji zagrażającej jej bezpieczeństwu i prawu do zachowania prywatności.
Cena promocyjna: 139.29 zł
|Cena regularna: 199 zł
|Najniższa cena w ostatnich 30 dniach: 159.2 zł
