Prawie 283 000 zł za m.in. niezgłoszenie naruszenia dotyczącego jednej osoby

Pewien administrator kolejny raz podjął decyzję o niezgłaszaniu Prezesowi UODO naruszenia ochrony danych oraz niezawiadamianiu osoby, której dane dotyczą o tym naruszeniu.

Za pierwszym razem Prezes UODO nałożył na administratora w styczniu 2021 r. administracyjną karę pieniężną w wysokości prawie 136 500 zł  stwierdzając:

naruszenie (…) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia

Administrator danych wysłał wiadomość e-mail do błędnego nadawcy. Wiadomość ta zawierała plik z danymi 259 osób (imię, nazwisko, adres e-mail, numer telefonu, informacja o dacie rejestracji w systemie spółki).

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Wojewódzki Sąd Administracyjny w Warszawie w orzeczeniu ze stycznia 2022 r. oddalił skargę tego administratora na powyższą decyzję wskazując, że:

    zdaniem Sądu, Prezes UODO w sposób należyty wziął pod rozwagę przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę – działań mających na celu wyeliminowanie naruszeń. Tym niemniej Prezes UODO słusznie przyjął, że choć Spółka współpracowała z organem przed wszczęciem postępowania administracyjnego, nie dokonała najistotniejszej z punktu widzenia art. 33 ust. 1 RODO czynności – zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, choć była wielokrotnie pouczana o potrzebie tego rodzaju działania;

    skoro Spółka nie zgłosiła Prezesowi UODO od 1 czerwca 2020r. do dnia wydania zaskarżonej decyzji – […] luty 2021r. – naruszenia danych osobowych, stosownie do art. 33 ust. 1 RODO, należało przyjąć, że czas trwania naruszenia ww. przepisu był znaczny. Warto też wskazać, że organ przy wymiarze kary mógł też uwzględnić i to, że Spółka w postępowaniu wyjaśniającym, przed przesłaniem Prezesowi UODO 30 października 2020r., kopii oświadczenia podpisanego przez Osobę trzecią informowała UODO jedynie o oświadczeniu dotyczącym trwałego usunięcia przez tę osobę danych, ale nie udostępniła go organowi. Dodatkowo ww. oświadczenie przekazane 30 października 2020r., opatrzono datą 18 września 2020r., co oznacza, że złożono je po 4 miesiącach od stwierdzenia naruszenia.

    Więcej o tym orzeczeniu możesz przeczytać tutaj:

    WSA utrzymuje karę 140 000 zł w sprawie błędnie wysłanego e-maila

    Obecna decyzja dotyczy naruszenia, które polegało na wysłaniu korespondencji zawierającej umowę łączącą strony z dnia […] marca 2020 r. na nieprawidłowy adres, co skutkowało ujawnieniem osobie nieuprawnionej, która odebrała korespondencję, danych osobowych Klientki Spółki. W wyniku powyższego zdarzenia doszło do naruszenia poufności danych jednej osoby w zakresie: imienia, nazwiska, nr PESEL, danych teleadresowych oraz adresu e-mail.

    Interesujące jest to, że Prezes UODO dowiedział się o sprawie z pisma jednego z Sądu Okręgowego, który na podstawie art. 94 ustawy ODO, który wskazuje, że:

    O wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o którym mowa w art. 79 lub art. 82 rozporządzenia 2016/679, sąd zawiadamia niezwłocznie Prezesa Urzędu.

    Drugą interesującą kwestią jest to, że administrator danych dowiedział się o naruszeniu z pisma pełnomocnika osoby, której dane osobowe znajdowały się w źle zaadresowanej przesyłce.

    Trzecia istotna kwestia to to, że to podmiot przetwarzający był odpowiedzialny za wysyłkę przedmiotowej korespondencji.

    W związku z tym, że administrator ani wtedy, ani do zakończenia postępowania nie dokonał obowiązku zgłoszenia naruszenia oraz zawiadomienia osoby, której dane dotyczą Prezes UODO uznał, że właściwym postępowaniem będzie nałożenie na administratora kary pieniężnej wyższej o ponad 105%, niż nałożonej w 2021 r.

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram
    Wyszukiwarka 360 dni
    2365
     PLN z VAT
    • Baza Orzeczeń Sądów i Trybunałów
    • Eksperckie tezy wybranych orzeczeń
    • Decyzje Prezesa UODO
    • Decyzje Europejskich Organów Nadzorczych
    • Wytyczne i Opinie EDPB oraz EDPS
    • Źródło argumentów w postępowaniu administracyjnym
    Wybieram

    Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

    Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


      Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

      Organ argumentował to tak:

      biorąc pod uwagę administracyjną karę pieniężną nałożoną na Spółkę poprzednią decyzją Prezesa Urzędu Ochrony Danych Osobowych (sygn. DKN.5131.7.2020), należy przyjąć, że jej wysokość nie była skuteczna, dlatego Prezes UODO zdecydował się na zwiększenie wysokości kary nałożonej niniejszą decyzją. Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

      W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

      I jak przy decyzji związanej ze zgubieniem pendir’va tym razem Prezes UODO zdecydował się nałożyć karę w wysokości:

      ok. 0,11% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego (tj. 247.917.120,- PLN) – nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenia;

      odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przedstawionego przez Administratora sprawozdania finansowego wynika, że przychody Spółki ze sprzedaży netto w 2022 r. wyniosły 12.395.706.000-PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,002 % ww. kwoty wpływów.

      Zapisz się do newslettera
      X

      Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności