Decyzja
ZWAD.405.1383.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2019 r. poz. 60 ze zm.), w związku z art. 34 ust. 4 i art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. 2016.119.1 ze zm.), po przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych postępowania administracyjnego w sprawie niepowiadomienia przez X. Sp. z o.o., osoby, której dane dotyczą, o naruszeniu ochrony danych,
nakazuję zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. 2016.119.1 ze zm.), tj.:
- opisu charakteru naruszenia ochrony danych osobowych;
- imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
- opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,
w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
Uzasadnienie
W dniu […] listopada 2018 r. pełnomocnik Spółki X. Sp. z o.o., zwanej dalej również „administratorem” lub „Spółką”, złożył do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO”, zgłoszenie naruszenia ochrony danych osobowych, które miało miejsce […] października 2018 r. W zgłoszeniu Spółka wskazała, że nie dochowała 72 godzinnego terminu zgłoszenia przez błąd pracownika, który zaklasyfikował zdarzenie jako reklamację, a nie naruszenie ochrony danych osobowych. Naruszenie polegało na wysłaniu niewłaściwemu klientowi zamówienia innej klientki administratora. Spółka oświadczyła w zgłoszeniu, że „fotoksiążka zawierająca rodzinne i ciążowe zdjęcia osoby, której dotyczy naruszenie, została wysłana do innej osoby” oraz że „(…) w środku koperty, oprócz zdjęć była etykieta właściwego adresata zamówienia (…)”. Zgodnie ze zgłoszeniem naruszenie dotyczyło następujących danych osobowych: imię i nazwisko klientki, numer zamówienia, dane jednej z osób widniejącej na zdjęciu w zakresie: imię i nazwisko, data urodzenia, płeć oraz wizerunki klientki i członków jej rodziny, przyjaciół oraz dziecka (w okresie od narodzin do 3 roku życia) z życia codziennego, spotkań rodzinnych oraz innych wydarzeń, m.in.: chrztu, zawarte na 126 zdjęciach. Ponadto X. Sp. z o.o. wskazał w zgłoszeniu naruszenia, że zdarzenie dotyczyło danych szczególnych kategorii, tj. danych dotyczących zdrowia oraz danych o przekonaniach religijnych i światopoglądowych.
Administrator zrezygnował z zawiadomienia klientki o zdarzeniu, w trybie wskazanym w art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. 2016.119.1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, wskazując, że po naruszeniu zastosował środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 lit. b rozporządzenia 2016/679, tj. niezwłocznie odebrał zdjęcia od osoby nieuprawnionej oraz wyjaśnił sytuację z klientką, której zdjęcia zostały ujawnione, uzasadniając sytuację błędem osoby przygotowującej zamówienie do wysyłki. Osoba nieuprawniona zgłosiła zdarzenie Spółce oraz klientce, z którą mogła się skontaktować dzięki informacjom zawartym na etykiecie adresowej, zawartej w przesyłce ze zdjęciami.
Wystąpieniem z […] grudnia 2018 r. Prezes UODO na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 z późn. zm.), zwanej dalej „ustawą o ochronie danych osobowych” i art. 34 ust. 4 rozporządzenia 2016/679 wezwał administratora do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazania tej osobie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Wskazał, że naruszenie polegało na wydaniu klientowi zamówienia innej klientki, zawierającego zdjęcia z wizerunkiem klientki, członków jej rodziny przyjaciół oraz dziecka (w okresie od narodzin do 3 roku życia) oraz dane osobowe tj. imię i nazwisko, numer zamówienia, datę urodzenia.
Prezes UODO podniósł w wystąpieniu, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu. Stosownie do art. 34 ust 4 rozporządzenia, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3 tego artykułu. Wskazał, że właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobie, której dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony jej danych osobowych wraz z opisem charakteru naruszenia, opisem jego możliwych konsekwencji oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
W dalszej części wystąpienia Prezes UODO omyłkowo wskazał, że naruszenie dotyczyło numeru PESEL oraz imienia i nazwiska dziecka. Niezależnie jednak od tej omyłki wskazał - adekwatnie do przedmiotowego naruszenia - w jakich przykładowych nieuprawnionych celach dane osoby mogą być wykorzystane, tj:
- do wyłudzenia środków finansowych od najbliższej rodziny tzw. „metodą na wnuczka”;
- udostępnienia danych lokalizacyjnych dziecka, co może skutkować narażeniem jego bezpieczeństwa;
- dyskryminacji dziecka i jego rodziny, poprzez ujawnienie szczególnej kategorii danych, tj. stanu zdrowia dziecka.
Prezes UODO wskazał również, że osobie, której dane dotyczą powinny być udzielone zalecenia, co do środków, jakie może ona podjąć w celu zabezpieczenia się przed negatywnymi skutkami naruszenia podając następujące przykłady:
- zasugerowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu;
- zachowanie ostrożności przez dzieci oraz członków najbliższej rodziny na kontakty z nieznajomymi osobami.
W odpowiedzi na wystąpienie Prezesa UODO, pismem z dnia […] stycznia 2019 r., X. Sp. z o.o. poinformował, iż Spółka nie zawiadomiła osoby, której dane dotyczą, ponieważ, poziom ryzyka związanego z przetwarzaniem jej danych osobowych został przez nią oceniony jako „ryzyko naruszenia praw i wolności osoby fizycznej”, a nie „wysokie ryzyko naruszenia praw i wolności osoby fizycznej”. X. Sp. z o.o., że w przypadku zgłoszonego naruszenia nie został ujawniony numer PESEL, ani miejsce zamieszkania dziecka. W związku z powyższym naruszenie poufności danych wskazanych w zgłoszeniu, nie może prowadzić do konsekwencji wskazanych w wystąpieniu. W ocenie Spółki nie zachodzi więc możliwość wykorzystania ujawnionych danych do wyłudzenia środków finansowych od najbliższej rodziny tzw. „metodą na wnuczka” ani do ustalenia lokalizacji dziecka. X. Sp. z o.o. podniósł również, że ujawnione dane nie zawierały informacji o stanie zdrowia dziecka (np.: dokumentacji medycznej), tylko przedstawiały klientkę w ciąży, co w konsekwencji nie prowadzi do wysokiego ryzyka naruszenia praw i wolności. Spółka podkreśliła ponadto, że niezwłocznie odebrano przesyłkę od osoby nieuprawnionej, wyjaśniono sytuację z klientką oraz wdrożono nowe zasady dotyczące systemu pakowania zdjęć. Biorąc pod uwagę powyższe okoliczności, w ocenie Spółki, nie zachodzi konieczność zawiadomienia o naruszeniu osoby, której dane dotyczą.
Wobec niezawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych na podstawie art. 61 § 1 i 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2019 r. poz. 60 ze zm.), zwanej dalej „Kpa”, w związku z art. 58 ust. 2 lit. e rozporządzenia 2016/679 Prezes UODO wszczął postępowanie administracyjne. W dniu […] lutego 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Spółki, w którym wskazała ona, że zgodnie z przyjętą polityką ochrony danych osobowych, wdrożyła i stosuje: „Procedurę oceny i notyfikacji naruszeń ochrony danych osobowych”, zwaną dalej również „procedurą”, która została załączona do ww. pisma. Procedura stosowana przez Spółkę została stworzona w oparciu o zalecenia dotyczące metodologii oceny wagi naruszenia wydane przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, zwaną dalej również „ENISA”. Na tej podstawie Spółka oceniła naruszenie biorąc pod uwagę:
- kontekst przetwarzania danych (KP) – przyjęto wartość równą 3; Spółka ustaliła, że przedmiotem naruszenia są dane podstawowe (wartość 1), które jednak mogą być źródłem informacji o danych dotyczących zdrowia czy życia seksualnego, w związku z tym podwyższyła wartość kontekstu przetwarzania danych o 2;
- łatwość identyfikacji (I) – przyjęto wartość równą 0,75; Spółka ustaliła, że imię i nazwisko będące przedmiotem naruszenia nosi wiele osób w Polsce, jednak z uwagi na wizerunek (zdjęcie jest wyraźne, co pozwala na identyfikację, jednak nie jest ono połączone z danymi, które pozwoliłyby na bezpośrednie ustalenie tożsamości osoby, np.: adres, numer telefonu), przyjęto wartość 0,75;
- okoliczności naruszenia (ON) – przyjęto wartość równą 0,25; Spółka ustaliła, że doszło do utraty poufności danych, a dane ujawniono określonej liczbie zidentyfikowanych odbiorców.
Administrator ocenił naruszenie według wzoru P = KP × I + ON, otrzymując następujący wynik: 3 × 0,75 + 0,25 = 2,5. Tym samym Spółka oceniła poziom naruszenia jako „średni”, co według przyjętych przez nią kryteriów oznacza, że „podmioty danych mogą napotkać znaczące niedogodności, którym można sprostać pomimo trudności”. Spółka powołała się ponadto na załącznik B Wytycznych Grupy Roboczej Art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250 rev. 01), zwane dalej również jako „Wytyczne Grupy Roboczej Art. 29”, gdzie wskazano przykłady naruszeń ochrony danych osobowych, które, mogą być pomocne przy odróżnianiu ryzyka od wysokiego ryzyka dla praw i wolności osób fizycznych. Oświadczyła, że ryzyko związane z naruszeniem objętym przedmiotowym zgłoszeniem różni się od przykładów naruszeń o wysokim stopniu ryzyka, wskazanych w tym załączniku, w szczególności zaś nie prowadzi do konsekwencji zbliżonych w swym charakterze i dolegliwości dla podmiotów danych. Dlatego też, jak twierdzi, słusznie oceniła, że brak jest wysokiego ryzyka naruszenia praw i wolności osoby fizycznej. Spółka ponownie podkreśliła, że w wystąpieniu Prezesa Urzędu Ochrony Danych Osobowych z dnia […] grudnia 2018 r. przyjęto niezgodnie ze stanem faktycznym założenie, że wśród ujawnionych danych znajdował się numer PESEL i miejsce zamieszkania dziecka, co w rezultacie nie mogło prowadzić do konsekwencji wskazanych w/w wystąpieniu. W jej ocenie - w przypadku omawianego naruszenia zaszły okoliczności, o których mowa w art. 34 ust. 3 lit. b rozporządzenia 2016/679, bowiem Spółka podjęła czynności, celem ograniczenia skutków naruszenia tj. niezwłocznie odebrała przesyłkę od osoby nieuprawnionej.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 prawidłowe zawiadomienie powinno:
- jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
- zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d rozporządzenia 2016/679, czyli:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Prezes UODO korzystając ze swoich uprawnień, skierował do X. Sp. z o.o. wystąpienie zmierzające do zapewnienia skutecznej ochrony danych osobowych. W wystąpieniu wskazał, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu. Stosownie do art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3 tego artykułu. Wskazał, że właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobie, której dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony jej danych osobowych wraz z opisem charakteru naruszenia, opisem jego możliwych konsekwencji oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
W ocenie Prezesa UODO ujawnienie osobie nieuprawnionej imienia i nazwiska klientki, danych kontaktowych wraz z miejscem zamieszkania klientki i jej małoletniego dziecka oraz innymi informacjami ujawnionymi na fotografiach przedstawiających sytuacje z życia rodziny w okresie od narodzin dziecka do 3 roku życia dziecka, w tym - wskazanych przez Spółkę - szczególnych kategorii danych, tj. danych dotyczących zdrowia oraz danych o przekonaniach religijnych i światopoglądowych, powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, a administrator zobowiązany był bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu.
Prezes UODO w swoim wystąpieniu z dnia […] grudnia 2018 r. wskazał możliwe konsekwencje naruszenia ochrony danych osobowych, jakie mogłyby być przekazane osobie, której dane dotyczą, uwzględniając, że naruszenie obejmowało informacje dotyczące dziecka. Zgodnie z motywem 75 rozporządzenia 2016/679 na wagę i prawdopodobieństwo ryzyka wpływa okoliczność, że przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci. Prezes UODO wskazał m.in. na możliwość wykorzystania danych objętych naruszeniem do wyłudzania środków finansowych od najbliższej rodziny, tzw. „metodą na wnuczka”. W ocenie Prezesa UODO dane mogłyby być wykorzystane do wyłudzenia środków finansowych poprzez kontakt telefoniczny z powołaniem się znajomość okoliczności z życia klientki. Ponadto zestaw informacji ujawnionych w wyniku naruszenia, m.in. imię i nazwisko klientki, data urodzenia dziecka, informacje na temat wydarzeń i osób związanych z klientką i jej dzieckiem ułatwiają podjęcie działań skutkujących narażeniem bądź naruszeniem bezpieczeństwa fizycznego dziecka. Taki zakres danych może zostać udostępniony kolejnym osobom nieupoważnionym, niezależnie od działań zaradczych podjętych przez administratora (np. odebranie oświadczenia o zachowaniu poufności).
Z uwagi na wskazanie przez Spółkę, że doszło do ujawnienia danych szczególnych kategorii, tj. danych dotyczących zdrowia oraz danych o przekonaniach religijnych i światopoglądowych Prezes UODO wskazał również na ryzyko dyskryminacji dziecka i jego rodziny. Fotografie będące szczególnym nośnikiem informacji, mogą ujawniać wiele cech fizycznych, fizjologicznych, ekonomicznych, kulturowych lub społecznych. Zarówno zdjęcia kobiety w ciąży jak i utrwalone na fotografiach wydarzenia (okres ciąży, narodziny dziecka, jego chrzest) mogły dotyczyć szczególnej sfery prywatności klientki, intymnych aspektów jej życia i dostęp do takich informacji nie powinny mieć osoby nieuprawnione mogące wykorzystać te informacje w sposób prowadzący do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych lub dyskryminacji.
W piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych […] lutego 2018 r., Spółka wskazuje, że wdrożyła i stosuje „Procedurę oceny i notyfikacji naruszeń ochrony danych osobowych”, opracowaną w oparciu o zalecenia dotyczące metodologii oceny wagi naruszenia wydane przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Na tej podstawie Spółka oceniła powagę naruszenia na poziomie średnim nie zobowiązującym Spółki - w jej ocenie - do zawiadomienia osoby, której dane dotyczą.
W opinii Prezesa UODO powyższa procedura w przedmiotowej sprawie doprowadziła Spółkę do nieprawidłowych wniosków, ponieważ Spółka nie uwzględniła wszystkich przewidzianych w tej procedurze czynników. Przede wszystkim wskazać należy, że - zgodnie z treścią ww. zaleceń Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji - zaproponowana w zaleceniach punktacja kryteriów powinna być dostosowana do konkretnych okoliczności, aby uzyskać najbardziej odpowiednie i adekwatne wyniki. Do kryteriów oceny wagi naruszenia proponowanych przez Agencję należą kontekst przetwarzania danych (KP) i łatwość identyfikacji (I). Spółka niesłusznie, w ocenie Prezesa UODO, wbrew wskazanym w wystąpieniu zagrożeniom, zaniżyła te kryteria.
Zarówno metodologia ENISA, jak i procedura Spółki (załącznik E procedury, pkt. 3.3) wskazują, że ostateczna wartość punktowa dla kontekstu przetwarzania (KP) może być zwiększania bądź zmniejszana w zależności od wystąpienia różnych czynników m.in. charakteru danych oraz skali naruszonych danych (dla tej samej osoby).
Spółka słusznie przyjęła, że charakter ujawnionych danych może być źródłem informacji o danych dotyczących zdrowia czy życia seksualnego, w związku z tym podwyższyła wartość kontekstu przetwarzania danych o 2 punkty. Pominięta została jednak inna okoliczność wskazana w procedurze Spółki, która w ocenie Prezesa UODO wpływa na podwyższenie tej punktacji zgodnie z przyjęta procedurą, tj. „z uwagi na cechy charakterystyczne, dla osoby informacja może mieć szczególne znaczenie dla bezpieczeństwa tej osoby lub jej stanu fizycznego czy psychicznego (np. grupy szczególnie wrażliwe, dzieci)” (Załącznik E procedury, pkt. 3.4). Czynnikiem, który nie został wzięty przez Spółkę pod uwagę, a powinien przemawiać za przyjęciem wspomnianej okoliczności, jest również skala naruszonych danych (dla tej samej osoby). Jak wskazuje ENISA oraz procedura Spółki, jest to czynnik, który może zwiększyć ostateczną wartość punktową kontekstu przetwarzania (KP) ze względu na przyrost ilości naruszonych informacji, a ilość ta powinna być rozpatrywana zarówno pod względem czasu (w przedmiotowej sprawie ujawniono 126 fotografii obejmujących okres od narodzin do 3 roku życia dziecka), jak i treści (ujawnione informacje obejmują osoby uczestniczące w sytuacjach z życia codziennego oraz spotkaniach rodzinnych takich jak chrzest).
Łatwość identyfikacji (I), kolejne kryterium, które Spółka wzięła pod uwagę przy ocenie wagi naruszenia została oceniona na poziomie 0.75 punktu. X. Sp. z o.o. wskazuje przy tym, że „zdjęcie jest wyraźne, pozwala na identyfikację ale nie jest połączone z danymi, które pozwalają na bezpośrednie ustalenie tożsamości osoby, np. adres, numer telefonu”. Przyjęta argumentacja stoi w sprzeczności ze stanem faktycznym odzwierciedlonym w zgłoszeniu naruszenia, w którym Spółka wskazała, że zdjęcia przedstawiały wizerunek klientki i „(…) w środku koperty, oprócz zdjęć była etykieta właściwego adresata zamówienia (…)”, a zatem dane pozwalające na bezpośrednie ustalenie tożsamości osoby. Z uwagi na powyższe Spółka powinna przyjąć poziom maksymalny identyfikacji co wg przyjętej procedury oznacza, że „identyfikacja jest możliwa bezpośrednio przy pomocy danych będących przedmiotem naruszenia bez konieczności prowadzenia innych badań, aby określić tożsamość danej osoby” (Załącznik E procedury, pkt. 4.6).
W przedmiotowym postępowaniu Spółka powołała się na załącznik B Wytycznych Grupy Roboczej Art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250 rev. 01) i wskazuje, że ryzyko związane z naruszeniem objętym jego zgłoszeniem różni się od przykładów naruszeń, o wysokim stopniu ryzyka, wskazanych w tym załączniku, w szczególności zaś nie prowadzi do konsekwencji zbliżonych w swym charakterze i dolegliwości dla podmiotów danych. Dlatego też, jak twierdzi, słusznie ocenił ryzyko jako „ryzyko naruszenia praw i wolności osoby fizycznej” a nie „wysokie ryzyko naruszenia praw i wolności osoby fizycznej”.
Nie sposób podzielić takiego stanowiska Spółki. Jak wskazuje Grupa Robocza Art. 29 w swoich wytycznych, w załączniku B przedstawiono niewyczerpujący wykaz przykładowych sytuacji, w których istnieje duże prawdopodobieństwo, że naruszenie stworzy wysokie ryzyko dla osób fizycznych, a co za tym idzie przypadków, w których administrator ma obowiązek zawiadomić osoby, których dane dotyczą. Ponadto w Wytycznych podkreśla się, że niektóre rodzaje danych osobowych mogą „na pierwszy rzut oka” wydawać się nieszkodliwe oraz należy dokładnie rozważyć, jakie informacje takie dane mogą ujawnić na temat osoby fizycznej, na którą naruszenie wywiera wpływ i zaleca by w przypadku jakichkolwiek wątpliwości administrator dokonał zawiadomienia (organu nadzorczego i/lub osób, których dane dotyczą), nawet jeśli taka ostrożność mogłaby się okazać nadmierna. Wytyczne wskazują również, że jeżeli administrator zdecyduje się nie zawiadamiać osoby fizycznej o naruszeniu, to organ nadzorczy może od niego tego zażądać, jeżeli jego zdaniem naruszenie może powodować wysokie ryzyko dla osób fizycznych co wynika z treści art. 34 ust. 4 Rozporządzenia 2016/679.
Art. 34 ust. 3 lit b rozporządzenia 2016/679 wskazuje, że zawiadomienie, o którym mowa w ust. 1 nie jest wymagane, w przypadku gdy administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1. Sytuacja ta dotyczy podjęcia przez administratora działań zaradczych już po wystąpieniu naruszenia ochrony danych osobowych, które skutkują wyeliminowaniem prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności podmiotu danych.
X. Sp. z o.o. w zgłoszeniu naruszenia, w piśmie będącym odpowiedzią na wystąpienie Prezesa UODO oraz w piśmie, które wpłynęło do UODO […] lutego 2019 r., podkreśla, że zaszły okoliczności, o których mowa w art. 34 ust. 3 lit. b rozporządzenia 2016/679, ponieważ niezwłocznie odebrano przesyłkę od osoby uprawnionej i wyjaśniono sytuację z klientką, której zdjęcia zostały ujawnione (poprzez wyjaśnienie przyczyny opóźnienia – błąd osoby przygotowującej zamówienie do wysyłki).
Jednakże, jak wskazuje Grupa Robocza Art. 29 w swoich Wytycznych, to czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane może mieć znaczenie dla poziomu potencjalnego ryzyka naruszenia praw lub wolności osób fizycznych.W ocenie Prezesa UODO w tym zakresie należy przyjmować perspektywę osób, których dane dotyczą i właśnie z tej perspektywy oceniać stopień dotkliwości w przypadku zmaterializowania się zagrożenia.
W sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi np. innemu klientowi administratora, który poinformował o pomyłce Spółki, brak jest gwarancji, że intencje takiej osoby - obecnie bądź w przyszłości - nie zmienią się, mając na względzie, że ewentualne konsekwencje posłużenia się ujawnionymi kategoriami danych mogą być znaczące.Ocena taka w szczególności nie zwalnia administratora z obowiązku podejmowania jakichkolwiek działań minimalizujących potencjalne ryzyko naruszenia praw lub wolności. W motywie 85 preambuły rozporządzenia 2016/679 wskazano, że „przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest na podstawie art. 34 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.
Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw i wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z przepisu art. 5 ust. 1 lit. a rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w tym przepisie ma zapewnić osobie, której dane dotyczą – szybko i w sposób przejrzysty – informację o naruszeniu ochrony jej danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępująca zgodnie z prawem i wykazujące dbałość o interesy osoby, której dane dotyczą, X. Sp. z o.o. powinna była bez zbędnej zwłoki zapewnić osobie, której dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się.
Wobec powyższego Prezes Urzędu Ochrony Danych osobowych rozstrzygnął jak w sentencji.
Informuję, iż stosownie do art. 41 Kpa, w toku postępowania strony oraz ich przedstawiciele i pełnomocnicy mają obowiązek zawiadomić organ administracji publicznej o każdej zmianie swego adresu. W razie zaniedbania tego obowiązku, doręczenie pisma pod dotychczasowym adresem ma skutek prawny.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.