Wyciek danych na stronie urzędu. Burmistrz zapłaci karę
Urząd Ochrony Danych Osobowych nałożył karę finansową na samorządowca. Powodem jest wyciek danych kilkuset osób. Urzędnicy popełnili błąd przy publikacji dokumentów.
Prywatne dane w Internecie
Burmistrz Miasta i Gminy Myślenice musi zapłacić 7700 złotych kary. Zdecydował o tym prezes UODO Mirosław Wróblewski. Sprawa dotyczy udostępnienia w sieci danych osobowych obywateli. Mieszkańcy poparli wcześniej lokalną petycję. Dokument trafił na stronę Biuletynu Informacji Publicznej, ale pracownicy urzędu nie zanonimizowali pliku przed jego publikacją.
Wizytujący stronę mogli łatwo pobrać niezabezpieczony dokument, w którym znalazły się prywatne dane dokładnie 749 osób. Wśród ujawnionych informacji były imiona, nazwiska oraz adresy zamieszkania. W pliku opublikowano nawet wzory podpisów wszystkich tych obywateli. Błędny dokument znajdował się na ogólnodostępnej stronie BIP przez kilkanaście dni. O incydencie urząd ochrony danych dowiedział się ze skargi jednego z poszkodowanych mieszkańców.
Urząd się tłumaczy
Burmistrz oficjalnie wnosił o umorzenie postępowania. Tłumaczył w pismach, że publikacja pełnych danych była jedynie wynikiem niezamierzonego błędu ludzkiego. Wskazywał również na późniejszą podmianę wadliwego pliku na właściwy. Samorządowiec argumentował dodatkowo, że pracownicy urzędu nie mieli złych intencji. Prezes UODO nie przyjął jednak tych wyjaśnień za wystarczające do zakończenia sprawy. Zdecydował o wszczęciu odrębnego postępowania z urzędu w związku z naruszeniem procedur informacyjnych.
Urząd z Myślenic nie zgłosił naruszenia ochrony danych osobowych do organu nadzorczego w wymaganym trybie. Prawo wymaga takiego działania od każdego administratora danych natychmiast po wykryciu incydentu. Przepisy RODO zwalniają z tego obowiązku tylko w rzadkich przypadkach. Dotyczy to wyłącznie sytuacji, gdy ryzyko naruszenia praw osób fizycznych jest oceniane jako znikome. Administrator musi jednak za każdym razem udokumentować taką ocenę ryzyka. Brak zgłoszenia uniemożliwia urzędnikom państwowym pomoc w minimalizowaniu skutków wycieku.
Surowa ocena organu nadzorczego
Europejska Rada Ochrony Danych wskazuje, że wszelkie wyjątki od zgłaszania wycieków należy traktować wąsko. Prezes UODO uznał, że w myślenickim przypadku zgłoszenie było w pełni obowiązkowe. Mimo oficjalnych wezwań organu nadzorczego, burmistrz do końca nie zmienił swojego stanowiska w tej sprawie. Urząd gminy nie dopełnił obowiązku formalnego zaraportowania wycieku aż do momentu wydania decyzji.
Kwota nałożonej kary finansowej bezpośrednio uwzględnia status administratora. Jednostki samorządu terytorialnego to podmioty publiczne. Organ nadzorczy zaznaczył, że od takich instytucji wymaga się najwyższej możliwej znajomości obowiązującego prawa. Długi czas dostępności pliku oraz duża liczba poszkodowanych osób stanowiły dodatkowe czynniki obciążające w tej sprawie.
