Sąd Administracyjny potwierdził, że udostępnienie dziennikarzowi niezanonimizowanych danych osobowych w ramach dostępu do informacji publicznej stanowi naruszenie RODO. Prokuratura Rejonowa w Gorlicach została ukarana grzywną w wysokości 20 tys. zł za brak zgłoszenia tego zdarzenia do Prezesa UODO oraz niezawiadomienie osób, których dane zostały ujawnione.
Na skróty:
Do czego doszło?
Prokuratura udostępniła dziennikarzowi w trybie dostępu do informacji publicznej dokumenty zawierające dane osobowe trzech osób. Dane te nie zostały zanonimizowane.
Jakie były argumenty Prokuratury?
Prokuratura argumentowała, że naruszenie nie wiązało się z wysokim ryzykiem dla praw lub wolności osób, których dane ujawniono, ponieważ:
- dotyczyło tylko trzech osób,
- dane otrzymał tylko jeden dziennikarz,
- dziennikarz sam zanonimizował dane przed publikacją.
Jakie było stanowisko Sądu?
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Prokuratury i podtrzymał decyzję Prezesa UODO. Sąd uznał, że:
- zakres ujawnionych danych był szeroki i obejmował m.in. imiona, nazwiska, adresy, numery PESEL, numery dokumentów tożsamości,
- wśród ujawnionych danych były dane małoletniego, w tym o jego stanie zdrowia,
Prokuratura nie wywiązała się z obowiązku powiadomienia osób, których dane ujawniono, o naruszeniu, - czas trwania naruszenia (27 miesięcy) był okolicznością obciążającą Prokuraturę.
Wnioski:
- Udostępnienie danych osobowych bez anonimizacji jest naruszeniem RODO, nawet jeśli dotyczy tylko kilku osób.
- Administrator danych ma obowiązek zgłosić do Prezesa UODO każde naruszenie ochrony danych osobowych.
- Administrator danych ma obowiązek powiadomić osoby, których dane zostały ujawnione, o naruszeniu.
Wyrok WSA w Warszawie jest ważnym sygnałem dla wszystkich administratorów danych osobowych, że muszą oni zachować szczególną ostrożność przy udostępnianiu danych osobowych, w tym w ramach dostępu do informacji publicznej.
