Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na wspólnotę mieszkaniową karę administracyjną w wysokości 5 000 zł. Podstawą nie było jednak samo naruszenie ochrony danych – lecz to, że wspólnota w ogóle nie zgłosiła tego naruszenia organowi nadzorczemu w przewidzianym terminie. Sprawa jest dobrą ilustracją tego, jak administratorzy danych błędnie rozumieją swoje obowiązki i jakie konsekwencje może mieć bagatelizowanie pozornie niegroźnych incydentów.
Spis treści
Co się wydarzyło?
Spółka zarządzająca nieruchomością, wykonując umowę o administrowaniu zawartą ze wspólnotą mieszkaniową, przesłała „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych” do osoby nieuprawnionej – zamiast do właściwego członka wspólnoty. Dokument zawierał imię i nazwisko oraz adres zamieszkania członka wspólnoty, numer lokalu i kwoty rozliczenia opłat, numery liczników wraz z ich odczytami, a także numer rachunku bankowego do wpłat.
Osoba, która otrzymała korespondencję, w ogóle o nią nie wnioskowała. Dane trafiły do niej przypadkowo, wbrew woli osoby, której dotyczyły. Z pozoru drobna pomyłka w wysyłce stała się punktem wyjścia do poważnego postępowania administracyjnego.
Dwa błędne argumenty obrony
W toku postępowania zarówno spółka, jak i wspólnota przedstawiły argumenty, które Prezes UODO odrzucił jako pozbawione podstaw prawnych.
Spółka twierdziła, że do naruszenia ochrony danych w ogóle nie doszło, ponieważ obaj właściciele lokali – ten, którego dane ujawniono, i ten, który je omyłkowo otrzymał – są członkami tej samej wspólnoty, a co za tym idzie mają „uprawnienia do wglądu we wszystkie dokumenty wytworzone przez Wspólnotę”. Organ nadzorczy stanowczo odrzucił tę interpretację. Przepisy ustawy o własności lokali nie dają podstaw do dowolnego udostępniania danych osobowych innych członków wspólnoty, a tym bardziej do działania wbrew ich woli. Członkostwo we wspólnocie nie tworzy ogólnego prawa do cudzych danych finansowych czy rachunków bankowych.
Wspólnota z kolei uznała, że skoro ujawnione dane są „zwykłe” – a nie szczególne kategorie danych, jak informacje o stanie zdrowia czy orientacji seksualnej – i dotyczą tylko jednej osoby, to obowiązek zgłoszenia naruszenia nie powstał. Organ nadzorczy zakwestionował to rozumowanie równie wyraźnie. Kategoria danych i liczba poszkodowanych to czynniki wpływające na ocenę ryzyka, ale same w sobie nie zwalniają z obowiązku przeprowadzenia rzetelnej analizy. Niedopuszczalne jest ignorowanie tego obowiązku tylko dlatego, że naruszenie dotyczyło jednej osoby.
Obowiązek z art. 33 RODO: co mówi przepis?
Artykuł 33 ust. 1 RODO nakłada na administratora danych obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Termin jest wyraźny: bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
Jedyny wyjątek – i jest to wyjątek wąski – zachodzi, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Warto pamiętać, że angielska wersja językowa RODO posługuje się słowem „unlikely”, które oznacza coś bliskiego „nieprawdopodobnemu” lub „wątpliwemu” – a więc ma mocniejsze znaczenie niż polskie „mało prawdopodobne”. Wyznacza to bardzo wysoki próg dla zastosowania wyjątku.
Co kluczowe: do zgłoszenia naruszenia zobowiązuje sama możliwość wystąpienia ryzyka – nie konieczność jego zmaterializowania się. Potencjalne konsekwencje nie muszą się urzeczywistnić, żeby obowiązek zgłoszenia powstał. Sam fakt naruszenia, z którym wiąże się ryzyko naruszenia praw lub wolności osób, jest wystarczającą przesłanką do działania.
Dlaczego zgłaszanie naruszeń jest ważne?
Organ nadzorczy podkreślił w uzasadnieniu decyzji, że zgłaszanie naruszeń to nie tylko formalność – pełni ono konkretną funkcję ochronną. Pozwala Prezesowi UODO na szybką interwencję i ograniczenie skutków incydentu. Umożliwia ocenę, czy konieczne jest poinformowanie samej osoby, której dane dotyczą. Tworzy mechanizm kontroli jakości zabezpieczeń stosowanych przez administratorów i dostarcza danych do oceny, czy wdrożone środki techniczne i organizacyjne są wystarczające.
Z jednej strony zgłaszanie naruszeń pozwala administratorom na weryfikację dotychczasowych rozwiązań. Z drugiej – daje organowi nadzorczemu możliwość reagowania w czasie rzeczywistym, zanim skutki incydentu staną się poważniejsze. System ten działa tylko wtedy, gdy administratorzy rzeczywiście z niego korzystają.
Wnioski dla administratorów danych
Decyzja Prezesa UODO w tej sprawie niesie kilka praktycznych wniosków dla wszystkich podmiotów przetwarzających dane osobowe – nie tylko wspólnot mieszkaniowych.
Każdy incydent dotyczący danych osobowych wymaga przeprowadzenia rzetelnej analizy ryzyka. Nie wystarczy intuicyjne uznanie, że „nic złego się nie stało”. Analiza powinna być udokumentowana i uwzględniać charakter danych, liczbę osób, których dotyczy naruszenie, oraz potencjalne konsekwencje dla tych osób. Brak dokumentacji oznacza brak możliwości wykazania, że obowiązek był rozważany.
Powierzenie przetwarzania danych innemu podmiotowi – tak jak w tej sprawie, gdzie to spółka zarządzająca popełniła błąd w wysyłce – nie zdejmuje z administratora odpowiedzialności za ocenę naruszenia i ewentualne zgłoszenie go do organu nadzorczego. To administrator, czyli w tym przypadku wspólnota mieszkaniowa, ponosi ostateczną odpowiedzialność za dochowanie wymogów RODO.
Termin 72 godzin biegnie od momentu stwierdzenia naruszenia, a nie od chwili jego faktycznego wystąpienia. Administratorzy muszą dysponować procedurami wewnętrznymi, które zapewnią sprawny przepływ informacji o incydentach – tak, żeby nie tracić cennego czasu na ustalanie, kto powinien podjąć decyzję i w jakiej formie.
Podsumowanie
Kara 5000 zł jest relatywnie niska w porównaniu z maksymalnymi sankcjami przewidzianymi w RODO. Jednak jej wymierzenie za sam brak zgłoszenia – a nie za poważne, systemowe zaniedbania – pokazuje, że Prezes UODO traktuje obowiązki notyfikacyjne poważnie. Dla administratorów, którzy jeszcze nie wdrożyli wewnętrznych procedur zarządzania incydentami, to wyraźny sygnał, że warto zrobić to bez zbędnej zwłoki.
