Prokuratura rejonowa z karą UODO za brak anonimizacji danych w informacji publicznej

Prezes UODO otrzymał informację o możliwym naruszeniu ochrony danych w jednej z Prokuratur Rejonowych. Otóż na żądanie dziennikarza prokuratura udostępniła informację publiczną zawierającą dane osobowe. Informacja ta nie została poddana anonimizacji danych, choć dotyczyła jednego z zakończonych postępowań przygotowawczych. Zawierała:

• zawiadomienie o podejrzeniu popełnienia przestępstwa wraz z załącznikami (w tym kwestionariuszem rodzinnego wywiadu środowiskowego).

• notatki urzędowej prokuratora,

• postanowienia o umorzeniu śledztwa,

• zażalenia na to postanowienie,

• protokołu posiedzenia Sądu Rejonowego w przedmiocie rozpoznania tego zażalenia,

• postanowienia Sądu Rejonowego o nieuwzględnieniu zażalenia.

W informacji tej znalazły się dane osobowe m.in. wójta gminy (byłego radnego) i jego małżonki, w tym:

• imiona i nazwiska,

• seria i numer dowodu osobistego,

• numer PESEL,

• adres zamieszkania,

• numer telefonu,

• informacja o wynagrodzeniu,

• płeć,

• stan cywilny,

• stopień pokrewieństwa,

• miejsce zatrudnienia.

Ujawniono też dane małoletniego dziecka, w tym dane wrażliwe dotyczące jego zdrowia. Następnie dziennikarz opublikował informację w lokalnej prasie, przy czym zanonimizował znajdujące się w niej dane osobowe.

Prokuratura Rejonowa nie zgłosiła naruszenia ochrony danych do Prezesa UODO ani nie poinformowała o nich podmiotów danych. Dlatego Prezes UODO wszczął z urzędu postępowanie dotyczące naruszenia. W toku postępowania, z uwagi na szeroki zakres ujawnionych danych osobowych, organ nadzorczy stwierdził, że wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych. Tym bardziej, że ujawniono dane wrażliwe o stanie zdrowia dziecka.

Jednocześnie Prokuratura Rejonowa nie wykazała, że przeprowadziła jakąkolwiek ocenę ryzyka w celu ustalenia, czy istnieje obowiązek zgłoszenia naruszenia do organu nadzorczego i powiadomienia o zdarzeniu podmiotów danych.