Kara za brak zgłoszenia i zawiadomienia o naruszeniu ochrony danych osobowych

A skoro wczoraj było o tym, że warto wczytać się ze zrozumieniem i reagować z sensem na decyzje PUODO — bo karę za naruszenie RODO można dostać nie tylko za wyciek danych — dziś będzie o tym, że za brak zgłoszenia i zawiadomienia o naruszeniu ochrony danych osobowych też grozi kara — zwłaszcza jeśli administrator nie stara się pojąć co do niego pisze organ (decyzja PUODO nr DKN.5131.6.2020 z 5 stycznia 2021 r.).


Brak zgłoszenia zawiadomienia naruszeniu ochrony danych osobowych
Za brak zgłoszenia i zawiadomienia o naruszeniu ochrony danych osobowych grozi kara — tym bardziej grozi, im bardziej administrator, u którego doszło do wycieku, ignoruje pisma PUODO (fot. Olgierd Rudak, CC-BY-SA 3.0)

Zaczęło się od przypadkowego udostępnienia w internecie zarejestrowanych filmików przedstawiających przebieg egzaminu zorganizowanego przez uczelnię (Śląski Uniwersytet Medyczny). Udostępnione na platformie elearningowej nagrania dotyczyły 237 studentów, każdy z nich pomachał do kamerki dowodem osobistym lub legitymacją studencką, dostęp do nich miała nieograniczona (dowolna) ilość osób. Uczelnia zignorowała sytuację (z decyzji wynika, że zdaniem jednego z pracowników stwierdził, że dane osobowe ukradli studenci, zaś rektor miał ocenić, iż „incydent oglądania przez 200 osób dowodów osobistych jakichś 100-150 innych osób, to nie jest wyciek danych osobowych”).

art. 4 pkt 12 rozporządzenia nr 679/2016 o ochronie danych osobowych
Na użytek niniejszego rozporządzenia:
12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Sprawą zainteresował się Prezes Urzędu Ochrony Danych Osobowych, który poprosił o wyjaśnienie czy uczelnia jako administrator danych osobowych przeanalizował incydent pod kątem ryzyka naruszenia praw i wolności osób oraz konieczności zgłoszenia naruszenia ochrony danych. W odpowiedzi uniwersytet wyjaśnił, że do naruszenia doszło, ale nie doszło do wycieku danych osobowych, ponieważ filmiki pobrało tylko 26 znanych z imienia i nazwiska studentów, którzy — w przypadku rozpowszechnienia materiałów — mogą ponosić indywidualną odpowiedzialność. Toteż PUODO cierpliwie odpisał na czym polega istota zgłoszenia z art. 33 RODO i jeszcze raz poprosił o informację czy dokonano ponownej analizy incydentu; ŚUM odparł, że nic się nie zmieniło, ryzyko nie eskaluje, do systemu wprowadzono jakieś poprawki, studenci wiedzą, że muszą szanować prywatność innych osób — natomiast wnoszone przez studentów skargi (sporządzone w/g przygotowanego przez anonima wzorca in blanco) oceniono jako dowód, iż ta osoba ponosi wszelkie ryzyko i odpowiedzialność za wyciek („znormalizowana in blanco treść skargi a co istotne przedstawione w niej załączniki (w tym, zawierające korespondencję, zrzuty ekranów) zostały wzajemnie udostępnione przez inicjatora(-ów) skarg indywidualnych, bądź zostały udostępnione przez autora treści znormalizowanych skarg nieoznaczonej grupie studentów, co czyni go w świetle ww. kontekstu odpowiedzialnym za rozprzestrzenianie informacji w sposób niekontrolowany (wzorca in blanco z załącznikami). (…) Powyższe czyni dysponenta wzorca skarg in blanco wyłącznym właścicielem ryzyka naruszenia praw i wolności osób”).
W tym momencie PUODO wszczął postępowanie w sprawie, jednak uczelnia wytrwale podtrzymywała wcześniejsze stanowisko: incydent polegał na „niezamknięciu pokoju wideokonferencyjnego” przez pracownika, przez co nagranie zostało automatycznie opublikowane. Obejrzało go 240 osób, pobrało 26 studentów, nawet jeśli dowód osobisty zawiera jakieś dane osobowe, to filmik był tak niewyraźny, że niczego nie da się odczytać.

W tej sytuacji PUODO stwierdził, że:

  • przypadkowe opublikowanie nagrania z przebiegu egzaminu, podczas którego studenci prezentowali dokumenty tożsamości, należy traktować jako naruszenie ochrony danych osobowych;
  • obowiązkiem administratora, który stwierdzi, iż doszło do naruszenia jest zgłoszenie tego faktu organowi nadzorczemu (art. 33 RODO);
  • natomiast jeśli incydent może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, powinnością administratora jest zawiadomić zainteresowaną osobę (art. 34 RODO);
  • argument o nieczytelności dokumentów jest o tyle nietrafny, że celem okazywania dowodu lub legitymacji było ustalenie tożsamości studenta (zaś oprogramowaniem zawsze można spróbować skorygować obraz);
  • nie ma przy tym znaczenia czy ktokolwiek ściągnął (i czy zrobiło tak 26 studentów) i wykorzystał w bezprawny sposób nagranie — liczy się, że doszło do naruszenia poufności danych, którego skutki pociągają za sobą określone ryzyko (o czym ŚUM skądinąd wiedział), zaś studenci nie mogą być traktowani przez uczelnię jako „zaufany” odbiorca danych — no a skutki incydentu przecież mogą nastąpić w przyszłości;
  • nie jest także istotne, że uniwersytet wdrożył poprawkę do systemu elearningowego — jest to bowiem działanie minimalizujące ryzyko wycieku na przyszłość, ale nie ma wpływu na naruszenie, do którego już doszło.

Ponieważ Śląski Uniwersytet Medyczny nie wykonał obowiązków wynikających z RODO, w szczególności zignorował ryzyko dla osób, których dane osobowe zostały ujawnione, naruszenie trwało kilka miesięcy, zaś administrator świadomie zdecydował się o niedokonaniu zgłoszenia i zawiadomienia — PUODO nałożył na uczelnię karę pieniężną w kwocie 25 tys. złotych.

Zamiast komentarza: to kolejny dowód, że zamiast bać się mitycznych kar za włamanie do systemu i wykradzenie danych osobowych, warto zacząć od początku — i to nawet jeśli nie od zapamiętania, że w przypadku incydentu trzeba informować kogo trzeba, to przynajmniej od umiejętności czytania ze zrozumieniem korespondencji przesyłanej przez urzędy. Było nie było to nie jest kara za to, że był wyciek — to jest kara za to, że uczelnia brnęła w zaparte, najwyraźniej mimo jednoznacznych podpowiedzi ze strony PUODO.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

20 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
20
0
komentarze są tam :-)x