Upublicznienie danych osób na kwarantannie ukarane przez Prezesa UODO

Decyzją z 12.11.2020 r. Prezes UODO ukarał spółkę za ujawnienie danych osób na kwarantannie i izolacji domowej, co stanowiło naruszenie RODO. W wyniku nieuwagi pracownika doszło do wycieku informacji, co zaowocowało udostępnieniem danych nieuprawnionym osobom. Prezes UODO zwrócił uwagę na istotę ochrony danych osobowych, szczególnie w kontekście epidemii, oraz konieczność uwzględnienia ryzyka związanego z czynnikiem ludzkim przy przetwarzaniu danych szczególnej kategorii.

Tematyka: Prezes UODO, RODO, ochrona danych osobowych, kara upomnienia, wyciek danych, czynnik ludzki, ryzyko, epidemia, zgłaszanie naruszeń, wykładnia przepisów

Decyzją z 12.11.2020 r. (sygn. DKN.5101.25.2020) Prezes UODO nałożył karę upomnienia na jedną ze spółek
komunalnych, w związku z publicznym ujawnieniem listy zawierającej adresy zamieszkania osób, które są na
kwarantannie orzeczonej decyzją jednego z powiatowych inspektorów sanitarnych oraz kwarantanną
obowiązkową w związku z przekroczenie granicy kraju, a także dane osób odbywających izolację domową
w związku ze stwierdzonym zakażeniem koronawirusem SARS-CoV-2.
Prezes UODO zajął się niniejszą sprawą po otrzymaniu zawiadomienia od powiatowego inspektora sanitarnego. Po
zebraniu szczegółowych informacji dotyczących podmiotów, jakim powiatowy inspektor sanitarny przekazywał dane
osób przebywających na kwarantannie i w izolacji domowej, Prezes UODO wszczął z urzędu postępowanie
w zakresie możliwości naruszenia przepisów RODO przez jedną ze spółek współpracujących z zakładem
oczyszczania miasta, jako administratora danych, poprzez udostępnienie nieuprawnionym odbiorcom listy
zawierającej adresy osób objętych kwarantanną medyczną.
Spółka, którą objęto postępowaniem, otrzymywała informacje dotyczące wykazów miejsc kwarantanny na terenie
miasta i gminy drogą elektroniczną z komendy powiatowej policji. Wykazy te były następnie przekazywane
upoważnionym pracownikom zakładu oczyszczania miasta, którzy mieli weryfikować, czy w danym okresie odpady
mają być odbierane z miejsc, które znajdują się w niniejszych wykazach. Miało to na celu zminimalizowanie ryzyka
zetknięcia się przez nich przy wykonywaniu obowiązków pracowniczych z czynnikami ryzyka związanego
z koronawirusem.
Jak okazało się w toku postępowania, wyciek danych był następstwem nieuwagi pracownika kontrolowanej spółki.
Wykaz został na chwilę pozostawiony bez nadzoru na biurku pracownika wykonującego inne czynności, podczas gdy
w pomieszczeniu znajdował się kierowca zakładu oczyszczania miasta. Kierowca ten zrobił telefonem zdjęcie wykazu
i udostępnił dalej, za pośrednictwem komunikatora internetowego.
Wykaz obejmował: nazwę miejscowości, nazwę ulicy, numer posesji/lokalu, nie obejmował imion, czy nazwisk. Mimo
tego, zdaniem Prezesa UODO, niniejsze dane stanowią dane osobowe, ponieważ upublicznienie listy adresów, pod
którymi znajdują się osoby poddane kwarantannie medycznej, umożliwia wskazanie konkretnych osób przez osoby
w określonej zbiorowości, np. sąsiadów, rodzinę. Co więcej, informacja o objęciu kwarantanną osoby, która była
narażona na chorobę zakaźną lub pozostawała w styczności ze źródłem biologicznego czynnika chorobotwórczego,
stanowi w ocenie Prezesa UODO, dane dotyczące zdrowia tej osoby, z uwagi na ryzyko zachorowania. Jak
wskazano w decyzji: „bez znaczenia w tym kontekście pozostaje fakt, czy osoba wykazuje objawy chorobowe, czy
też nie”.
Zarzuty Prezesa UODO przeciwko kontrolowanej spółce dotyczyły przede wszystkim błędnego oszacowania przez
administratora ryzyk w procesach przetwarzania danych, niedokonania zgłoszenia naruszenia ochrony danych
osobowych w odpowiednim terminie oraz niedokonania zawiadomienia osób, których dane dotyczą o naruszeniu
ochrony danych osobowych.
Spółka posiadała procedury dotyczące ochrony danych, postępowania z danymi dotyczącymi osób przebywających
na kwarantannie medycznej, jednakże, jak w wielu przypadkach, zawiódł czynnik ludzki. W ocenie Prezesa UODO,
ryzyka związane z tzw. czynnikiem ludzkim w przyjętych przez spółkę procedurach nie zostały uwzględnione
w należytym stopniu.
Prezes UODO zwrócił uwagę, że jest to bardzo istotne, przy przetwarzaniu danych szczególnej kategorii,
w szczególności biorąc w sytuacji związanej ze stanem epidemii. Z tego względu, zdaniem Prezesa UODO,
administrator powinien mieć szczególnie na względzie, wysoce przewidywalne ryzyko związane z niedogodnościami
trudnymi do przezwyciężenia, takimi jak dyskryminacja, ostracyzm społeczny, poczucie napiętnowania, stres, czy
nawet potencjalne straty materialne związane z negatywną reakcją społeczności.
Prezes UODO wskazał, że w analizie ryzyka, administrator powinien uwzględnić zarówno szczególny charakter
przetwarzanych danych, jak i czynnik ludzki, rozumiany jako lekkomyślność (bezpodstawne przypuszczenie, że
szkoda nie nastąpi) lub niedbalstwo (nie przewidywanie możliwości powstania szkody, w okolicznościach, w których
można i powinno się przewidzieć jej powstanie).
W analizowanej sprawie, w ocenie Prezesa UODO, narażenie osób znajdujących się pod ujawnionymi adresami na
negatywne konsekwencje, spowodowane było błędnym postrzeganiem sytuacji przez administratora.
W konsekwencji, Prezes UODO zarzucił spółce nierespektowanie przepisów RODO, w tym obowiązku

zawiadomienia organu nadzorczego o zaistnieniu naruszenia ochrony danych osobowych, jak również osób, których
dane dotyczą.
Nałożoną przez Prezesa UODO karę było jedynie upomnienie. Przy wymierzaniu kary Prezes UODO wziął pod
uwagę fakt, że kontrolowana spółka podjęła działania dyscyplinujące wobec pracowników, którzy swoimi działaniami
przyczynili się do powstania naruszenia oraz nie zbagatelizowała sprawy i zobowiązała się do zrewidowania
istniejących w spółce procedur, jak również ponownego przeszkolenia pracowników z zakresu przepisów
dotyczących ochrony danych osobowych.

Komentarz
W każdej decyzji wydanej przez Prezesa UODO znajdziemy szereg wskazówek dotyczących sposobu wykładni
przepisów RODO przez polski organ nadzorczy, co, zważywszy na bardzo ogólny charakter regulacji, z całą
pewnością ułatwia wypełnianie obowiązków ciążących na podmiotach przetwarzających dane osobowe.
W omawianej decyzji przede wszystkim zwraca uwagę wykładnia Prezesa UODO w zakresie definiowania danych
osobowych, w tym danych szczególnej kategorii, którymi w zależności od kontekstu, mogą być także dane adresowe.
Ponadto, rozważania Prezesa UODO dotyczące zgłaszania naruszeń dają istotną wskazówkę dla administratorów
danych co do sposobu postępowania. Prezes UODO wprost wskazał, że w sytuacjach wątpliwych, lepszym
rozwiązaniem jest dokonanie zgłoszenia naruszenia ochrony danych osobowych nawet na wyrost, niż niedokonanie
zgłoszenia wcale.

Decyzja Prezesa UODO 12.11.2020 r. sygn. DKN.5101.25.2020

Prezes UODO nałożył karę upomnienia na spółkę za naruszenie RODO poprzez ujawnienie danych osób na kwarantannie. Decyzja zawiera istotne wskazówki dotyczące wykładni przepisów RODO oraz obowiązku zgłaszania naruszeń ochrony danych osobowych. W przypadku wątpliwości, zaleca się dokonanie zgłoszenia nawet na wyrost, aby zapewnić właściwą ochronę danych.