Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na Prokuraturę Rejonową karę pieniężną w wysokości 20 tys. zł za niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych oraz niezawiadomienie osób, których dane zostały objęte tym naruszeniem.
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja o możliwości naruszenia ochrony danych osobowych w Prokuraturze Rejonowej. W ramach odpowiedzi na wniosek o dostęp do informacji publicznej prokuratura miała przekazać lokalnemu dziennikarzowi niezanonimizowaną dokumentację z zakończonego postępowania. Dziennikarz, po otrzymaniu kopii dokumentów, opublikował je w lokalnym serwisie internetowym, ale już z zanonimizowanymi danymi osobowymi.
Prokuratura Rejonowa niezgodnie z obowiązującymi przepisami nie zawiadomiła Urzędu Ochrony Danych Osobowych (UODO) o naruszeniu ochrony danych osobowych, jak również nie poinformowała osoby, której dane były naruszone. Zgodnie z przepisami, prokuratura powinna dokonać zgłoszenia do UODO niezwłocznie, a w każdym przypadku nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Ponadto, powinna ona również poinformować osoby, których dane dotyczą, o fakcie naruszenia.
Zaniechanie, jakiego dopuściła się prokuratura niesie wysokie ryzyko naruszenia praw i wolności osoby, której dane zostały naruszone. Brak zgłoszenia naruszenia do UODO oraz brak poinformowania osoby dotkniętej naruszeniem ogranicza jej możliwość podjęcia odpowiednich kroków w celu ochrony swoich danych oraz oceny skali naruszenia. W przypadku ujawnienia danych dotyczących stanu zdrowia dziecka, istnieje dodatkowe zagrożenie dla praw i wolności osób fizycznych.
Prezes Urzędu Ochrony Danych Osobowych (UODO) wszczął postępowanie w tej sprawie, ponieważ Prokuratura nie przedstawiła dokumentów potwierdzających przeprowadzenie obowiązkowej analizy ryzyka naruszenia praw lub wolności osób fizycznych, których dane były objęte naruszeniem ochrony danych osobowych. UODO stwierdził, że brak takiej oceny wskazuje na jej brak.
W wyniku tego zdarzenia doszło do naruszenia poufności danych osobowych osób fizycznych, ponieważ dokumenty nie zostały prawidłowo zanonimizowane przed udostępnieniem ich w ramach dostępu do informacji publicznej. Organ nadzorczy nie podważa samego udostępnienia dokumentacji w trybie dostępu do informacji publicznej, jednak zwraca uwagę na konieczność przestrzegania zasad dotyczących ochrony danych osobowych przy takim udostępnieniu. Skutkiem udostępnienia niezanonimizowanych dokumentów było ujawnienie danych osobowych osobie nieuprawnionej do ich otrzymania, co stanowi naruszenie ochrony danych osobowych. Dodatkowo, decyzja administratora (Prokuratury) o niezawiadomieniu organu nadzorczego i osób, których dane dotyczą, pozbawiła te osoby rzetelnej informacji o naruszeniu oraz wskazówek dotyczących możliwości przeciwdziałania potencjalnym szkodom.
