Czyli w Państwa opinii każde naruszenie obejmujące numer PESEL będzie do zgłoszenia i do zawiadomienia osoby?
ODPOWIEDŹ
Mając na względzie praktykę Prezesa UODO dotyczącą naruszeń, które obejmują numer PESEL, zdecydowanie zalecane jest zachowawcze podejście ich oceny. Oznacza to w praktyce, że w przypadku jakichkolwiek wątpliwości w zakresie oceny naruszenia oraz potencjalnego ryzyka naruszenia prawa i wolności osób, rekomendowanym działaniem będzie zgłoszenie zdarzenia do urzędu.
W tym zakresie kluczowe jest następujące stanowisko Prezesa UODO (poradnik UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” https://uodo.gov.pl/pl/134/1029 – str. 17 dokumentu):
Nie można jednak dokonywać oceny naruszenia w oderwaniu od konkretnego stanu faktycznego. Decydujący w tym miejscu będzie sam kontekst przetwarzania. Prezes UODO w przywołanym wcześniej poradniku również podaje przykład sytuacji, w której naruszenie obejmowało numer PESEL, jednak nie zachodziła konieczność notyfikacji naruszenia do organu nadzorczego:
„Pracownik administratora porzucił dokumenty kadrowe i finansowe (zawierające m.in. takie dane, jak: imię, nazwisko, PESEL, adres zamieszkania, informacje o wynagrodzeniach) w kontenerze na odpady. Administrator stwierdził, że doszło do naruszenia ochrony danych. Jednak z uwagi na: - krótki okres, jaki upłynął od zaistnienia do stwierdzenia naruszenia, - zamknięty teren zakładu pracy,-monitoring kontenerów na odpady, - podjęte natychmiastowo działania zaradcze, mimo powagi tego zdarzenia, a w szczególności zakresu i kategorii danych, prawdopodobieństwo zmaterializowania się szkody dla osób, których te dane dotyczą (np. posłużenia się danymi w celu wyłudzenia ubezpieczenia) ocenił jako niskie.”