Odpowiedź:

Przedstawiona sytuacja stanowi naruszenie ochrony danych osobowych w rozumieniu przepisów RODO.

Uzasadnienie odpowiedzi:

W przedmiotowej sprawie administrator powinien podjąć odpowiednie kroki celem ustalenia czy prawdopodobne jest, aby wskazane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, czy stanowi jedynie incydent bezpieczeństwa ochrony danych, podlegający wpisaniu do odpowiedniego rejestru. W tym celu administrator powinien dokonać analizy oraz oceny zaistniałego zdarzenia, np. przez zastosowanie testu oceny wagi naruszenia zaproponowanego przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Na ocenę powagi naruszenia ma wpływ wiele czynników.

W przypadku danych szczególnej kategorii, takich jak informacje o stanie zdrowia, istnieje wysokie prawdopodobieństwo wystąpienia poważnego naruszenia ochrony danych. Naruszenie powodujące ryzyko naruszenia praw i wolności osób fizycznych, zgodnie z art. 33 ust. 1 RODO powinno zostać zgłoszone przez Administratora do organu nadzorczego, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Dokonanie zgłoszenia po wskazanym terminie wiąże się z koniecznością złożenia dodatkowych wyjaśnień. Należy również pamiętać, że jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu (art. 34 RODO). Konsekwencje naruszenia lub ich brak uzależnione będą od decyzji Prezesa UODO. W przypadku naruszenia mogą być podjęte przez organ odpowiednie działania naprawcze, takie jak: wydane ostrzeżenie, upomnienie, czy nawet administracyjną karę pieniężną.