Utrata nośnika danych z danymi osobowymi – konsekwencje naruszenia ochrony danych
Co dzieje się, gdy np. przedstawiciel administracji sądowej przypadkowo zgubi nośnik pamięci z informacjami dot. wyroków spraw, które prowadził?
Rozważmy sytuację, w której sędzia gubi pendrive’a, na którym znajdują się postanowienia, wyroki oraz uzasadnienia spraw, nad którymi pracował przez ostatnie trzy lata. Zagubienie nośnika zawierającego dane wrażliwe grozi udostępnieniem danych osób, a w konsekwencji – groźnym naruszeniem ochrony danych osobowych. Co ważne opisana powyżej sytuacja miała miejsce w jednym z sądów okręgowych. Sąd opublikował na swojej stronie internetowej informacje dot. okoliczności, w których doszło do zdarzenia oraz przedstawił możliwe skutki i środki zaradcze dla osób, których dane zostały udostępnione.
Sprawdź również – „Bezpieczne korzystanie z pamięci przenośnej – pendrive’a, czyli jak chronić się przed niepowołanym dostępem do zasobów zapisanych na urządzeniach pamięci masowej?”
Jakie dane udostępniono w wyniku zgubienia pendrive’a?
Wśród dokumentów zapisanych na pendrive’ie znalazły się projekty orzeczeń (postanowień), wyroków oraz uzasadnień. Sąd szczegółowo podał dane, które znajdowały się w udostępnionych dokumentach:
– wyroki – imiona, nazwiska stron oraz przedmioty prowadzonych spraw.
– postanowienia (zakres danych zależy od przedmiotu postanowienia) – z zasady były to dane wrażliwe dot. stanu zdrowia (strony lub osób jej najbliższych). Wśród danych znalazły się opisy schorzeń, rokowań, okresu przebywania na zwolnieniu. W sytuacji, gdy składano wniosek o przyznanie zwrotu kosztów dojazdu do sądu czy też utraconego zarobku, podano dane pracodawcy, rodzaj środka lokomocji, numer rachunku bankowego czy też adres, pod który ma trafić przelew. Dodatkowo mogły być to też informacje dot. sytuacji rodzinnej, majątkowej czy sytuacji finansowej.
– uzasadnienia – dane zawarte w aktach spraw, ich stan oraz okoliczności zdarzenia. Dodatkowo wskazano, że mogły znaleźć się tam również numery PESEL, numery i serie dowodów osobistych.
Jakie obowiązki ma organ, który udostępnił dane w opisanej sytuacji?
Należy poinformować o naruszeniu odpowiedni organ – Urząd Ochrony Danych Osobowych. Musi to zrobić nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Po drugie – poinformowanie osób, których wyciek danych mógł dotyczyć. Co równie ważne – organ powinien wyjaśnić okoliczności, w których doszło do incydentu. Równie istotne jest przeciwdziałanie kolejnym tego typu sytuacjom, wdrażając odpowiednie środki zaradcze.
Jakie konsekwencje grożą osobom, których dane udostępniono?
Brak odpowiedniej reakcji może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. W szczególności dotyczy to utraty kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości. Konsekwencjami może być strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Nośnik z danymi, który mógł dostać się w niepowołane ręce, może skutkować wykorzystaniem ich w sposób nieodpowiedni. Osoba nieupoważniona posiadając dane (imię, nazwisko, nr i serię dowodu osobistego) może również działać w imieniu osoby, której dane dotyczą.