Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/28

Kraj:

Wielka Brytania

Data wydania decyzji:

12.12.2025 r.

Podmiot kontrolowany:

Chief Constable of the Police Service of Scotland

Wysokość kary (EUR):

75.700

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. c), f), art. 25 ust. 1, 2, art. 32 ust. 1, art. 33 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie wynikało z braku właściwego podejścia do zasady minimalizacji danych oraz niewdrożenia skutecznych procedur kontroli ich przetwarzania i udostępniania. Organizacja pozyskała i przetwarzała znacznie szerszy zakres danych niż było to konieczne, a następnie nie zapewniła odpowiednich mechanizmów selekcji i zabezpieczenia informacji przed ujawnieniem. Dodatkowo błędna interpretacja obowiązków prawnych doprowadziła do ujawnienia danych w zakresie wykraczającym poza cel postępowania.

 

Opis wydarzeń

  1. Nadmiarowe pozyskanie danych z urządzenia mobilnego: W toku postępowania karnego zdecydowano o pobraniu pełnej zawartości telefonu osoby pokrzywdzonej, mimo że cel postępowania wymagał jedynie dostępu do konkretnych wiadomości. Działanie to doprowadziło do przetwarzania bardzo szerokiego zakresu danych, w tym informacji prywatnych i danych niezwiązanych ze sprawą.
  2. Brak analizy niezbędności i proporcjonalności: Decyzja o pełnym zrzucie danych nie została należycie uzasadniona ani udokumentowana. Ograniczono się do ogólnego stwierdzenia o „zasadności i proporcjonalności”, bez realnej analizy zakresu danych niezbędnych do realizacji celu.
  3. Przeniesienie danych do innego postępowania: Po zakończeniu postępowania karnego dane zostały przekazane do jednostki prowadzącej postępowanie dyscyplinarne wobec funkcjonariusza, co oznaczało ich dalsze przetwarzanie w innym celu.
  4. Ujawnienie pełnego zestawu danych osobie trzeciej: W ramach materiału dowodowego przekazano funkcjonariuszowi objętemu postępowaniem całość danych bez uprzedniej selekcji i ograniczenia do informacji istotnych. Ujawnione dane obejmowały m.in. tysiące stron informacji, zdjęcia oraz komunikację prywatną, które nie miały znaczenia dla sprawy.
  5. Brak redakcji i mechanizmów kontroli: Organizacja nie posiadała procedur ani wytycznych dotyczących redagowania danych (np. anonimizacji, pseudonimizacji, ograniczania zakresu), ani obowiązku weryfikacji materiałów przed ich udostępnieniem.
  6. Niewystarczające zabezpieczenia techniczne: Dane zostały przekazane na nośnikach, które nie były zaszyfrowane, mimo obowiązujących wymogów w tym zakresie. To dodatkowo zwiększyło ryzyko nieuprawnionego dostępu.
  7. Błędna interpretacja obowiązków prawnych: Przyjęto założenie, że w ramach postępowania należy ujawnić wszystkie zgromadzone dane, podczas gdy przepisy wymagają przekazania jedynie informacji istotnych i adekwatnych.
  8. Opóźniona reakcja na naruszenie: Pomimo stwierdzenia wysokiego ryzyka dla osoby, której dane dotyczą, naruszenie nie zostało zgłoszone organowi nadzorczemu w wymaganym terminie 72 godzin.
  9. Kara finansowa: Brytyjski organ nadzorczy nałożył na Police Scotland karę pieniężną w wysokości 66 000 GBP za naruszenia RODO, uznając je za poważne i systemowe w kontekście przetwarzania danych w postępowaniach dyscyplinarnych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Stosowanie zasady minimalizacji danych: Ograniczenie zakresu pozyskiwanych i przetwarzanych danych wyłącznie do informacji niezbędnych dla konkretnego celu. W przypadku danych z urządzeń mobilnych należy unikać pełnych zrzutów i stosować podejście selektywne (np. analiza konkretnych wątków, danych lub zakresów czasowych).
  2. Weryfikacja adekwatności danych przed ich ujawnieniem: Każde udostępnienie danych powinno być poprzedzone oceną ich przydatności i związku z celem przetwarzania. Należy zapewnić, że przekazywane są wyłącznie dane istotne dla sprawy, zgodnie z zasadą wiedzy koniecznej.
  3. Wdrożenie procedur redakcji danych (anonimizacji/pseudonimizacji): Wprowadzenie obowiązkowych mechanizmy usuwania lub ukrywania danych zbędnych, w szczególności danych prywatnych, wrażliwych lub niezwiązanych ze sprawą, przed ich udostępnieniem osobom trzecim.
  4. Wprowadzenie wieloetapowej kontroli (zasada „czterech oczu”): Zapewnienie, aby materiały zawierające dane osobowe były weryfikowane przez co najmniej dwie osoby przed ich przekazaniem, co ogranicza ryzyko błędów i nieuprawnionych ujawnień.
  5. Wdrożenie privacy by design i by default: Projektowanie procesów i systemów w taki sposób, aby domyślnie ograniczały zakres przetwarzanych danych oraz minimalizowały ryzyko ich nadmiarowego ujawnienia.
  6. Zapewnienie odpowiednich środków bezpieczeństwa technicznego: Stosowanie szyfrowania nośników danych, kontroli dostępu oraz bezpiecznych metod transferu informacji. Dane nie powinny być przekazywane w formie niezaszyfrowanej, zwłaszcza poza organizację.
  7. Zapewnienie dedykowanych szkoleń dla personelu: Regularne szkolenia pracowników w zakresie zasad ochrony danych, w szczególności minimalizacji, redakcji danych, klasyfikacji informacji oraz bezpiecznego udostępniania danych.
  8. Przeprowadzanie analizy ryzyka i DPIA: W przypadku operacji wysokiego ryzyka (np. przetwarzanie danych z urządzeń mobilnych) należy przeprowadzać ocenę skutków dla ochrony danych (DPIA) oraz cyklicznie aktualizować analizę ryzyka.
  9. Usprawnienie procedur zarządzania incydentami: Wdrożenie mechanizmów umożliwiających szybkie wykrycie naruszenia, jego ocenę pod kątem ryzyka dla osób fizycznych oraz zgłoszenie do organu nadzorczego w terminie 72 godzin.
  10. Doprecyzowanie procedur udostępniania danych w postępowaniach: Należy jasno określić, że ujawnieniu podlegają wyłącznie dane „istotne i niezbędne”, a nie cały zgromadzony materiał, co powinno być zgodne zarówno z RODO, jak i przepisami sektorowymi.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO