Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na komornika sądowego, który nie dopełnił obowiązków wynikających z art. 33 i 34 RODO, tj. nie zgłosił naruszenia ochrony danych osobowych oraz nie poinformował osoby, której dane dotyczyły.
Sprawa dotyczyła wysłania korespondencji zawierającej dane osobowe (m.in. imię, nazwisko, adres, PESEL) do nieuprawnionego adresata. Pomimo stwierdzenia incydentu, administrator nie dokonał zgłoszenia naruszenia do UODO, uznając błędnie, że ryzyko dla osoby fizycznej jest niewielkie.
UODO jednoznacznie wskazał, że:
-
to administrator decyduje o ocenie ryzyka, ale musi ją udokumentować,
-
brak zgłoszenia naruszenia wymaga realnego i uzasadnionego braku ryzyka,
-
dane identyfikacyjne, takie jak PESEL, co do zasady generują co najmniej średnie ryzyko.
Decyzja ta jest istotnym przypomnieniem, że zawody zaufania publicznego (w tym komornicy, notariusze, adwokaci) nie są w żaden sposób wyłączone spod rygorów RODO, a obowiązki związane z naruszeniami danych mają charakter bezwzględny.