Spółdzielnia mieszkaniowa z karą UODO za niezgłoszenie naruszenia ochrony danych

Prezes UODO dowiedział się o naruszeniu od osoby, która przypadkowo weszła w posiadanie danych osobowych członka jednej ze spółdzielni mieszkaniowej. Stało się to podczas konferencji prasowej, w trakcie której spółdzielnia udostępniła jej osobie informacje o sporze pomiędzy nią a członkiem spółdzielni. W ramach tych informacji osoba ta otrzymała również kopię zawiadomienia o podejrzeniu popełnienia przestępstwa. Zawiadomienie to zawierało takie dane osobowe jak:

• imię i nazwisko,

• PESEL,

• adres zamieszkania.

Co istotne, administrator zakwalifikował to zdarzenie jako incydent, ujmując je w rejestrze naruszeń. Niemniej jednak ryzyko naruszenia praw i wolności podmiotów danych uznał za niskie, w związku z czym nie zawiadomił o nim Prezesa UODO ani podmiotów danych.

W ocenie organu nadzorczego analiza w tym zakresie nie była pogłębiona. Nie wzięto bowiem pod uwagę zagrożeń dla osoby, której dane osobowe zostały ujawnione. Zdaniem UODO ryzyko naruszenia było tu wysokie. Nie ma tu znaczenia to, czy zawiadomienie o podejrzeniu przestępstwa było uzasadnione. Tak czy inaczej, dane osoby ujętej w tym zawiadomieniu zasługiwały na ochronę.

Z tego względu administrator winien był zawiadomić o zdarzeniu nie tylko Prezesa UODO, ale także osobę, której dane znajdowały się w ujawnionym zawiadomieniu. Ujawnienie jej danych osobowych niosło bowiem za sobą ryzyko np. kradzieży tożsamości czy zaciągnięcia zobowiązania na cudzą rzecz. Choć takie konsekwencje nie wystąpiły to jednak istniało prawdopodobieństwo, że mogą mieć miejsce.