NSA po stronie UODO i WSA: były pracownik z dostępem do PUE ZUS oznaczał wysokie ryzyko
Ta sprawa zaczęła się od stwierdzeni przez Administratora naruszenia danych osobowych dotyczącego dostępu byłego pracownika do konta PUE ZUS. Pracownik ten przez ponad 7 miesięcy od rozwiązania umowy o pracę dysponował takim dostępem i dokonywał kilku logowań na konto Administratora danych tj. swojego byłego pracodawcy. Prezes UODO w decyzji ze stycznia 2022 r. stwierdził naruszenie przez tego Administratora przepisu art. 34 RODO polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób oraz nałożył na ten podmiot 545 748 zł administracyjnej kary pieniężnej. Organ nadzorczy wskazał rozbudowaną argumentację i warto przytoczyć, że: Wobec dalszego braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu […] lipca 2021 r. Prezes UODO wszczął wobec Banku postępowanie administracyjne w tym przedmiocie. Ponadto, w piśmie tym Prezes UODO wezwał Administratora do wyjaśnienia, na jakiej podstawie Bank oparł swoje twierdzenie, iż zaistniałe naruszenie ochrony danych osobowych polegające na posiadaniu przez pracownika Banku, po ustaniu stosunku pracy, nieuprawnionego dostępu do danych pracowniczych przetwarzanych na Platformie Usług Elektronicznych ZUS (PUE ZUS) w zakresie: imion i nazwisk, adresów zamieszkania lub pobytu, nr PESEL, a ponadto informacji o zwolnieniach lekarskich, tj. danych dotyczących zdrowia, powoduje niskie ryzyko naruszenia praw lub wolności osób fizycznych, skutkujące brakiem konieczności zawiadomienia osób, których dotyczy naruszenie, wraz z prośbą o przedłożenie przeprowadzonej analizy ryzyka dla tego naruszenia. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia.Podkreślić należy, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. WSA w Warszawie w listopadzie 2022 r. oddalił […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.