Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Koronawirus, śmieci a ochrona danych osobowych

21-01-2021 Autor: Katarzyna Frelak

Niezwykła sytuacja pandemii, w jakiej się znajdujemy, wymaga od nas szczególnej uwagi w zakresie ochrony danych osobowych i ich przetwarzania, zwłaszcza że dotyczą one danych o stanie zdrowia. Przyjrzymy się decyzji UODO dotyczącej ujawnienia listy osób przebywających na kwarantannie.

 

Decyzja DKN.5101.25.2020
Stan faktyczny: Do UODO wpłynęło pismo Państwowego Powiatowego Inspektora Sanitarnego w G. (dalej: PPIS) informujące o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które przebywają na kwarantannie orzeczonej decyzją administracyjną PPIS oraz na kwarantannie obowiązkowej w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zarażeniem koronawirusem SARS-CoV-2. PPIS poinformował, że dane te zostały udostępnione Komendzie Powiatowej Policji w G., Naczelnikowi Poczty Polskiej w G., miejskim i gminnym ośrodkom pomocy społecznej na terenie powiatu G. i Komendzie Straży Pożarnej w G. Jednocześnie PPIS zaznaczył, że to nie on jest źródłem publicznego ujawnienia przedmiotowych danych.


Prezes UODO zwrócił się do Komendanta Powiatowego Policji w G., który wyjaśnił, że listy otrzymane ze Stacji Sanitarno-Epidemiologicznej (za pośrednictwem ePUAP) zostały następnie udostępnione (za pomocą e-mail) Komendzie Powiatowej Państwowej Straży Pożarnej w G., Gminnemu Ośrodkowi Pomocy Społecznej w G., Spółdzielni Mieszkaniowej w G., Spółce z o.o. Podmioty te wnioskowały o uzyskanie danych w związku z panującym stanem epidemiologicznym, mając na uwadze obawę przed narażaniem pracowników na zarażenie COVID-19. Listy obejmowały adresy osób objętych kwarantanną, tj.: nazwę miejscowości, ulicę, numer posesji lub lokalu, w formie tabeli, której nadano nazwę: „AKTUALNY (stan na dzień, godz.) WYKAZ OSÓB OBJĘTYCH KWARANTANNĄ W ZWIĄZKU Z ZAGROŻENIEM KORONAWIRUSEM”. Dodatkowo lista adresów osób objętych kwarantanną, w formie fotografii, zamieszczona była w komunikatorze internetowym Messenger oraz w artykule na stronie internetowej.


Prezes UODO zwrócił się do podmiotów wskazanych przez Komendanta Powiatowego Policji w G. Wszystkie te podmioty, z wyjątkiem Spółki, oświadczyły, że w wyniku przeprowadzonych wewnętrznych postępowań wyjaśniających nie stwierdziły w swoich organizacjach naruszenia ochrony danych osobowych dotyczącego ujawnienia danych tych osób. Spółka natomiast wyjaśniła, że drogą e-mail otrzymywała „wykazy miejsc kwarantanny na terenie miasta oraz gminy G.”, które jej zdaniem obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwisk i innych danych pozwalających zidentyfikować osobę fizyczną. Wykazy te przekazywane były upoważnionym pracownikom Zakładu Oczyszczania Miasta, którzy mieli za zadanie zweryfikować, czy w danym okresie odpady mają być odbierane z miejsc, które widnieją na wykazach. Spółka podkreśliła, że takie działanie podyktowane było ochroną życia i zdrowia pracowników Spółki (pracowników Zakładu Oczyszczania Miasta), tj. zminimalizowaniem ryzyka zarażenia się koronawirusem. Przedmiotowy wykaz został wydrukowany i pozostawiony przez pracownika Spółki, na krótki czas, bez należytego nadzoru. W tym czasie inny pracownik Spółki – kierowca w Zakładzie Oczyszczania Miasta sfotografował wspomniany wykaz, a następnie, udostępnił go co najmniej jednemu innemu pracownikowi Spółki, również kierowcy w Zakładzie Oczyszczania Miasta. Kierowcy mieli być poinformowani przez osobę nadzorującą wydrukowany wykaz, czy w ramach wykonywanej przez nich pracy odpady mają być odbierane z miejsc, które widnieją na wykazie. Spółka poinformowała również o udzieleniu nagany pracownikowi, który wydrukował wykaz i pozostawił go bez odpowiedniego nadzoru. Natomiast z kierowcą, który sfotografował wykaz i udostępnił go innej osobie, została rozwiązana umowa o pracę w trybie dyscyplinarnym. Spółka stwierdziła, że sytuacja ta nie wypełnia jednak znamion naruszenia ochrony danych osobowych (art. 4 pkt 12 rodo).


W związku z otrzymanymi od Spółki wyjaśnieniami Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę, jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rodo, w związku z naruszeniem ochrony danych osobowych osób objętych kwarantanną medyczną przez udostępnienie nieuprawnionym odbiorcom listy zawierającej adresy tych osób. Wezwał administratora do wyjaśnienia, czy w odniesieniu do przetwarzania tych danych została przeprowadzona analiza sposobu ich udostępniania pod kątem zagrożeń związanych z utratą poufności i jaki był jej wynik, a jeśli nie została przeprowadzona – wskazanie powodów odstąpienia od jej wykonania. Spółka w odpowiedzi załączyła przeprowadzoną analizę ryzyka oraz podkreśliła, że krąg osób uprawnionych do otrzymania tych danych był ograniczony do niezbędnego minimum i stosowane były pozostałe zasady wynikające z Polityki Bezpieczeństwa Informacji. Przeprowadzona analiza nie wykazała ryzyka naruszenia praw lub wolności osób fizycznych na poziomie wysokim, a tylko średnim, co skutkowało nieprzeprowadzeniem oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

 

[...]

 

Autorka jest inspektorem ochrony danych, członkiem korpusu służby cywilnej.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.