SO w Warszawie: Rzecznik Finansowy zapłaci 40 tys. zł za wyciek danych do 28 tysięcy podmiotów
Ten wyrok Sądu Okręgowego w Warszawie to jeden z ważniejszych dotychczas opublikowanych przykładów zastosowania art. 82 RODO przez polskie sądy powszechne w sporze, w którym po drugiej stronie stoi podmiot publiczny. Sąd przesądził odpowiedzialność Rzecznika Finansowego jako administratora danych, odrzucił argumenty i zasądził zadośćuczynienie w kwocie 40.000 zł — mimo że poszkodowany nie wykazał żadnej szkody majątkowej. Czego dotyczyła sprawa? W dniu 11 lutego 2021 r. w Biurze Rzecznika Finansowego doszło do naruszenia poufności danych osobowych K.S. Wskutek błędu pracownika pismo kierowane do Prezesa Zarządu towarzystwa ubezpieczeniowego — zawierające imię i nazwisko powoda, adres korespondencyjny, numer i nazwę polisy, sygnaturę sprawy prowadzonej u Rzecznika oraz nazwy podmiotów rynku finansowego — zostało wysłane do 28.366 instytucji i podmiotów zarejestrowanych w systemie ePUAP. Rzecznik Finansowy poinformował powoda o zdarzeniu pismem z dnia 12 lutego 2021 r., wskazując możliwe konsekwencje: stres związany z naruszeniem i brakiem kontroli nad danymi, otrzymywanie niezamówionej korespondencji oraz ryzyko podszycia się pod tożsamość powoda. Równolegle Rzecznik zwrócił się do wszystkich podmiotów, które weszły w posiadanie pisma, o usunięcie lub zanonimizowanie danych. Pomimo tych kroków, w późniejszym okresie odmówił przyjęcia odpowiedzialności za zdarzenie. Decyzją z dnia 30 września 2022 r. Prezes UODO udzielił Rzecznikowi Finansowemu upomnienia za naruszenie art. 6 ust. 1 RODO poprzez udostępnienie danych powoda za pośrednictwem systemu ePUAP podmiotom trzecim bez podstawy prawnej. Decyzja jest ostateczna i prawomocna. Powód wniósł pozew o zapłatę 50.000 zł zadośćuczynienia. Sąd zasądził 40.000 zł. Odpowiedzialność administratora — brak wystarczających zabezpieczeń, nie tylko błąd ludzki Kluczowe dla rozstrzygnięcia było ustalenie, czy Rzecznikowi Finansowemu przysługuje przesłanka egzoneracyjna z art. 82 ust. 3 RODO — zwalniająca administratora z odpowiedzialności, gdy wykaże, że w żaden sposób nie ponosi winy za zdarzenie. Pozwany twierdził, że korzystał z dedykowanych administracji systemów informatycznych, pracownik był przeszkolony, a naruszenie było wynikiem chwilowej, nieprzewidywalnej awarii. Sąd te argumenty odrzucił. W ocenie sądu pozwany nie zabezpieczył systemów EZD i ePUAP w wystarczający sposób — w szczególności nie ograniczył możliwości wysyłki […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.