Prezes UODO o obowiązku zabezpieczenia danych osobowych

W kolejnej decyzji Prezesa UODO z kwietnia br. nakładającej administracyjną karę pieniężną – tym razem w wysokości ponad 10 000 zł – możemy zauważyć jak ważnym elementem systemu ochrony danych osobowych jest przeprowadzenie analizy ryzyka związanego z przetwarzaniem takich danych.

Administrator, którym tutaj był pewien Komitet Inicjatywy Ustawodawczej przetwarzał dane osobowe obywateli, którzy popierali tą konkretną inicjatywę poprzez złożenie swojego podpisu w papierowym wykazie. Wykaz taki – zgodnie z ustawą z dnia 24 czerwca 1999 r. o wykonywaniu inicjatywy ustawodawczej przez obywateli (Dz. U. 1999 Nr 62 poz. 688) – zawiera oprócz imienia i nazwiska Obywatela, który popiera inicjatywę także jego adres zamieszkania, numer PESEl oraz podpis. Wynika to z art. 9 ust. 2 wyżej wskazanej ustawy.

Pewna osoba zbierająca na rzecz Komitetu podpisy stwierdziła, że dobrym pomysłem będzie pozostawienie arkuszy do podpisywania się w Kościele. I nie chodzi tutaj o miejsce, ale o to, że każdy Obywatel podpisujący się pod taką inicjatywą mógł zapoznać się z danymi osobowymi wszystkich osób, które popierają uchwalenie przez Sejm RP konkretnej ustawy.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Administrator wielokrotnie – w korepsodnecji z organem nadzorczym – wskazywał, że nie jest on odpowiedzialny za sposób zbierania podpisów, bo:

„(…) przepisy rozporządzenia „RODO” są prawem powszechnie obowiązującym, więc należy wychodzić z założenia, że obywatele (w tym osoby zbierające podpisy) przepisy rozporządzenia znają i je stosują”

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności

Loading

Prezes UODO nie poparł takiej argumentacji i wskazał, że:

Taki stan rzeczy wskazuje na lekceważący stosunek Administratora do obywateli, którzy zdecydowali się poprzeć projekt ustawy. Powołać trzeba ponownie wyjaśnienia Administratora, który wskazuje, że „(…) nie jest możliwe „wykazanie” że osoby zapoznały się z instrukcją [zbierania podpisów], gdyż nie sposób nawet ustalić personalia osób, których w skali kraju były tysiące, a które włączyły się w zbiórkę podpisów”,co bezsprzecznie wskazuje na nieprawidłowe wdrożenie przygotowanych przez Administratora środków bezpieczeństwa.

W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wynikającym z niedbalstwa Administratora, gdyż posiadał on analizę ryzyka, w której przewidział ryzyko w postaci możliwości skopiowania danych osobowych znajdujących się na ww. wykazie wraz z określeniem środków organizacyjnych gwarantujących, w ocenie Administratora, odpowiedni stopień bezpieczeństwa danych, jak również instrukcję zbierania podpisów pod projektem ustawy. Pomimo jej opracowania, Administrator nie podjął działań prowadzących do prawidłowego jej wdrożenia, a co więcej, stwierdził brak możliwości wdrożenia przyjętych przez siebie środków, tym samym naruszając art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

W zakresie ustalenia wysokości administracyjnej kary pieniężnej organ nadzorczy wskazał, że:

Administrator, pomimo dwukrotnego wezwania skierowanego na adresy podane na jego stronie internetowej (Administrator nie powiadomił organu nadzorczego o zmianie adresu), nie przekazał rocznego sprawozdania finansowego. W konsekwencji, Prezes UODO określił podstawę wymiaru administracyjnej kary pieniężnej nałożonej na Administratora w sposób szacunkowy, uwzględniając jego wielkość oraz specyfikę prowadzonej działalności, stosownie do art. 101a ust. 2 ustawy o ochronie danych osobowych.

jest ona w tym konkretnym przypadku odstraszająca oraz proporcjonalna do zaistniałych naruszeń. Warto podkreślić, że kwota nałożonej administracyjnej kary pieniężnej, tj. 10 913,- PLN, to jedynie 0,01 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro).

Celem nałożonej administracyjnej kary pieniężnej jest doprowadzenie do przestrzegania przez Komitet w przyszłości przepisów rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.