Kara pieniężna za niezgłoszenie naruszenia w postaci ujawnienia danych osobowych w informacji publicznej

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Prokuratury Rejonowej w Gorlicach na decyzję Prezesa UODO, w której organ nadzorczy nałożył na tę prokuraturę karę pieniężną. Sprawa dotyczyła niezgłoszenia naruszenia ochrony danych oraz niezawiadomienia o naruszeniu podmiotów danych. Wspomniana prokuratura udostępniła dziennikarzowi w charakterze informacji publicznej dokumenty, w których były dane trzech osób.

Zdaniem prokuratury nie było tu konieczności zgłaszania incydentu do Prezesa UODO i zawiadamiania o nim podmiotów danych z uwagi na brak wysokiego ryzyka naruszenia praw i wolności podmiotów danych. Jako argument podano, że ujawniono dane osobowe jedynie trzech osób. Poza tym dane zostały później zanonimizowane przez dziennikarza przed publikacją. W ocenie prokuratury działanie dziennikarza świadczyło o braku zamiaru skorzystania z danych w celach przestępczych bądź udostępniania ich nieuprawnionym osobom.

WSA w Warszawie nie zgodził się jednak z argumentacją prokuratury. Sąd zwrócił uwagę na stosunkowo szeroki zakres ujawnionych danych osobowych obejmujący m.in. imiona, nazwiska, adresy, numery PESEL, numery dokumentów tożsamości. Co istotne, znalazły się tam także dane małoletniego, w tym o jego stanie zdrowia.

Nie bez znaczenia w ocenie sądu był także czas trwania naruszenia. Od momentu powzięcia przez administratora informacji o naruszenia do czasu wydania decyzji przez Prezesa UODO upłynęło aż 27 miesięcy. Przez tak długi czas mogło zmaterializować się ryzyko naruszenia praw i wolności osób fizycznych. W tym czasie osoby te nie mogły przeciwdziałać naruszeniu, bowiem prokuratura nie zawiadomiła ich o naruszeniu.