WSA uchyla decyzję Prezesa nakładającą ponad 282 000 zł kary
WSA w Warszawie wypowiedział się w przedmiocie skargi na decyzję Prezesa UODO z listopada 2023 r. Organ nadzorczy stwierdził naruszenie przez administratora danych przepisów: a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą, W związku z powyższym nałożył na administratora administracyjną karę pieniężną w wysokości 282 960 zł. Prezes UODO ustalił w trakcie postępowania administracyjnego, że: naruszenie ochrony danych osobowych polegające na skierowaniu przesyłki zawierającej podpisaną przez Podmiot Danych umowę nr […] na adres innego klienta Spółki miało miejsce. Spółka powzięła […] listopada 2020 r., kiedy to zostało jej doręczone pismo pełnomocnika Klientki Spółki. W wyniku powyższego zdarzenia doszło do naruszenia poufności danych jednej osoby w zakresie: imienia, nazwiska, nr PESEL, danych teleadresowych oraz adresu e-mail. Osobą, która omyłkowo wysłała korespondencję zawierającą dane osobowe Klientki Spółki na niewłaściwy adres (jak wynika z wyjaśnień Spółki) był pracownik podmiotu przetwarzającego, tj. ENEA Centrum Sp. z o.o., która świadczy na rzecz ENEA S.A. usługę wysyłki umów. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Spółkę nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. Z taką decyzją nie zgodził się administrator danych i złożył skargę do WSA w Warszawie. Sąd wyrokiem z czerwca 2024 r. uchylił decyzję Prezesa UODO mimo, że zgodził się ze stanowiskiem organu, co do tego, że: nie została spełniona określona w art. 33 ust. 1 rozporządzenia nr 2016/679 przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.