Biuletyn Informacji Publicznej (BIP) to wizytówka instytucji publicznych. W tym oficjalnym serwisie publikowane są najważniejsze informacje dotyczące działalności urzędników - od ministerstw po urzędy gmin.
We wrześniu 2024 roku w swoim biuletynie Urząd Miasta i Gminy Myślenice opublikował treść petycji mieszkańców w sprawie budowy połączenia kolejowego Kraków-Myślenice. Do dokumentu dołączono listę 749 osób popierających proponowaną wówczas trasę linii kolejowej przez Krzyszkowice. Razem z ich nazwiskami, adresami zamieszkania i wzorami podpisów.
Dlaczego to ważne? Bo w dobie oszustw internetowych, stalkingu i kradzieży danych osobowych urzędnicy podali potencjalnym przestępcom na tacy osobiste informacje o niemal dwóch procentach mieszkańców swojej gminy.
Prezes UODO podjął decyzję
Jeden z mieszkańców, których dane pojawiły się pod petycją, zawiadomił o sprawie prezesa Urzędu Ochrony Danych Osobowych (UODO). Ten "po przeprowadzonym postępowaniu stwierdził naruszenie ochrony danych osobowych" - czytamy w komunikacie na stronie UODO.
Prezes urzędu Mirosław Wróblewski nałożył na burmistrza Myślenic - Jarosława Szlachetkę - karę w wysokości 7700 złotych.
Jak podkreślono na stronie UODO, burmistrz bronił się tym, że "publikacja niezanonimizowanych danych była skutkiem niezamierzonego błędu i ów niewłaściwy udostępniony plik z danymi osobowymi został zastąpiony poprawnym".
W uzasadnieniu wydanej decyzji czytamy, że zdaniem burmistrza nie doszło do ujawnienia danych, bo... "w zasadzie tylko jedna osoba pobrała plik". Jarosław Szlachetka tłumaczył też, że publikacja była efektem "błędu ludzkiego" jednego z pracowników. Bagatelizował problem, twierdząc, że "co najwyżej może dojść do utraty poufności danych osobowych, czy naruszenia dobrego imienia administratora i osoby fizycznej". PESEL-u nie ujawniono, więc zdaniem samorządowca "praktycznie nie ma możliwości poniesienia strat finansowych" przez mieszkańców, których dane opublikowano.
Ale konsekwencje mogły być poważne. W decyzji prezesa UODO podano przykłady podobnych naruszeń ochrony danych osobowych:
- dyskryminacja,
- kradzież tożsamości,
- oszustwo,
- strata finansowa.
"Ujawnione w następstwie omawianego zdarzenia dane osobowe pozwalają na relatywnie łatwą identyfikację osób, których dotyczą" - wskazał w uzasadnieniu prezes urzędu.
"Urzędnicy zamietli to pod dywan"
Dane usunięto z Biuletynu Informacji Publicznej po kilku tygodniach. - Gdy zauważyłem, że na stronie opublikowano moje dane, od razu zgłosiłem to do urzędu. Urzędnicy zamietli to pod dywan, zignorowali, nikogo nie informując. Choć mieli obowiązek zgłosić incydent do Urzędu Ochrony Danych Osobowych i do osób, które podpisały się pod petycją, nie zrobili tego - mówił nam jesienią ubiegłego roku jeden z mieszkańców gminy, który miał podpisać się pod petycją.
Co istotne, choć UODO otrzymało skargę tylko jednego mieszkańca - dotyczącą jego własnych danych - prezes urzędu postanowił przeanalizować sprawę całościowo. "Nieuprawnione działanie wiązało się bowiem nie tylko z ingerencją w sferę indywidualnych praw podmiotów, ale wymagało oceny w kontekście innych obowiązków administratora" - podkreślono w oświadczeniu. Chodzi właśnie o fakt niezawiadomienia prezesa UODO o tym, że doszło do wycieku danych.
Prezes Urządu Ochrony Danych Osobowych potwierdził w swoim rozstrzygnięciu, że burmistrz Myślenic miał obowiązek powiadomić go o incydencie, ale tego nie zrobił. Nie było jednak obowiązku informowania mieszkańców, bo według UODO ryzyko "naruszenia praw lub wolności osób fizycznych" nie było duże.
W komunikacie zaznaczono jednocześnie, że "naruszenie jest poważne, a plik zawierający niezanonimizowane dane osobowe był dostępny przez kilkanaście dni".
Burmistrz: będziemy się odwoływać
Decyzja jest nieprawomocna. To oznacza, że burmistrz Myślenic może odwołać się od niej do sądu. Mimo stwierdzonych uchybień - jak czytamy w komunikacie burmistrz "nie zmienił stanowiska" w sprawie obowiązkowego zgłoszenia naruszenia ochrony danych osobowych. "Do momentu wydania decyzji przez Prezesa UODO nie nastąpiło zgłoszenie stosownego naruszenia" - stwierdzono.
Burmistrz Jarosław Szlachetka poinformował nas, że nie zgadza się z decyzją prezesa UODO. "Będziemy się odwoływać. W uzasadnieniu widzimy szereg niejasności i nieścisłości" - odpisał burmistrz w odpowiedzi na nasze pytanie.
Wcześniej Robert Pitala, sekretarz miasta i gminy Myślenice, informował tvn24.pl, że urzędnicy wzorowali się na jednej z petycji opublikowanych na stronie Urzędu Wojewódzkiego w Krakowie. W niej również nie zanonimizowano danych. - Jeżeli mamy patrzeć, jak się pewne rzeczy robi, to na urząd wojewódzki, który powinien świecić przykładem - wyjaśnił sekretarz gminy.
Sprawie przyglądała się też Prokuratura Rejonowa w Suchej Beskidzkiej. Śledczy analizowali tę sprawę pod kątem nielegalnego przetwarzania danych osobowych, za co grozi grzywna, kara ograniczenia wolności lub nawet dwóch lat więzienia. Dochodzenie zostało umorzone "z uwagi na brak znamion czynu zabronionego".
"Dane osobowe znajdujące się w załączniku do petycji mieszkańców jednej z miejscowości zostaly ujawnione na stronie BIP przez omyłkowe przesłanie do publikacji petycji wraz z niezanonimizowaną wersją załącznika" - odpowiedziała na nasze pytania Prokuratura Rejonowa w Suchej Beskidzkiej.