Toruń. Bez konsekwencji dla komendanta Straży Miejskiej za wyciek danych 220 osób? Znamy stanowisko prezydenta Michała Zaleskiego

Zobacz wideo: Więcej radarów na polskich drogach. Zapłaci za to Unia.

Jak ujawniliśmy 24 lutego br., z komendy Straży Miejskiej w Toruniu nastąpił wyciek danych osobowych 220 torunian. W przypadku 62 osób były to dane wrażliwe (m.in. numery PESEL) i te osoby zostały o tym pisemnie zawiadomione. Źródłem wycieku była strażniczka, która do domu wyniosła notes (podobno będący brudnopisem), w którym miała dane osób z kontroli porządkowych.

Ze zrozumiałych względów wiele osób jest zaniepokojonych. Wyciek danych to obawa przed tym, że ktoś je nielegalnie wykorzysta, np. zaciągając na nas szybką pożyczkę. Szefostwo SM w Toruniu przekazuje jednak, że do notesu dostęp najprawdopodobniej miały w domu tylko dwie osoby: strażniczka i jej mąż.

Mimo wszystko sprawa objęta jest dochodzeniem, które nadzoruje Prokuratura Rejonowa w Elblągu (dla bezstronności). Czynności przeprowadzają jednak toruńscy policjanci. Komendant municypalnych, Mirosław Bartulewicz, zawiadomił o wycieku Prezesa Urzędu Ochrony Danych Osobowych. Ten wszczął swoje, odrębne postępowanie i zakończył je 23 lutego.

"Nowości" poprosiły o ustosunkowanie się do sprawy prezydenta Michała Zaleskiego. Zapytaliśmy:

• 1. Czy podjęte przez komendanta kroki są wystarczające, by wyciągnąć konsekwencje i zapobiec podobnym przypadkom na przyszłość?
• 2. Czy z krokami dyscyplinarnymi wobec strażniczki należy czekać do zakończenia postepowania prokuratury, tak jak chce tego komendant?
• 3. Czy Prezydent wyciągnął jakieś konsekwencje lub planuje wyciągnąć wobec komendanta SM w Toruniu?

Prezydent Torunia odpowiedział, że zgodnie z informacjami jakie zawarto w piśmie kończącym postępowanie prezesa Urzędu Ochrony Danych Osobowych, skierowanym do komendanta 23 lutego, podjęte przez niego działania były zgodne ze wszelkimi procedurami oraz miały na celu zminimalizowanie wystąpienia podobnego naruszenia w przyszłości. Z reakcją dyscyplinarną wobec strażniczki należy wstrzymać się do finału prokuratorskiego dochodzenia. Jeśli natomiast chodzi o odpowiedzialność samego komendanta Mirosława Bartulewicza, to w opinii prezydenta Michała Zaleskiego "w związku ze wspomnianą decyzją Prezesa UODO, nie ma podstaw do wyciągania wobec niego konsekwencji".

Jak konkretnie zareagował Mirosław Bartulewicz po ujawnieniu wycieku? Przypomnijmy. Kierownikom średniego szczebla nakazał ponownie zapoznać wszystkich strażników z regulaminem pracy. Oczywiście, szczególnie z zasadami dotyczącymi dokumentacji służbowej. Polecił też strażnikom prowadzenie tylko jednego notatnika służbowego (bez żadnych brudnopisów). Takie notesy są już ewidencjonowane. Poza tym, komendant zlecił kierownikom wzmożenie nadzoru nad dokumentacją kontrolną sporządzaną przez podwładnych i raportowanie na ten temat raz na kwartał.

Adam Sanocki, rzecznik Prezesa Urzędu Ochrony Danych Osobowych w Warszawie przekazał nam, że komendant SM w Toruniu w terminie zawiadomił urząd o naruszeniu danych osobowych, a następnie - poproszony o dodatkowe informacje - przekazał je. Poinformował urząd o przeprowadzonej analizie ryzyka związanej z tym incydentem i przedstawił podjęte działania prewencyjne na przyszłość. Wszystko to odnotował UODO w zakończonym 23 lutego br. postępowaniu. Podsumowując: reakcja komendanta była właściwa.

Przy tej okazji rzecznik przypomina, że do prezesa UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych.

Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale numer PESEL, numer dokumentu, adres.

-Z kolei celem zgłaszania naruszeń prezesowi UODO w ciągu 72 godzin jest m.in. dokonanie oceny tego, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą. W przypadku poważnych naruszeń czas reakcji bardzo ważny - podkreśla Adam Sanocki, rzecznik UODO.