Utrzymano karę ponad 85 000 zł za niewykonanie decyzji Prezesa UODO

07.01.2022

Dużym echem, w środowisku podmiotów odpowiedzialnych za stosowanie przepisów RODO, odbiła się decyzja Prezesa Urzędu Ochrony Danych Osobowych z 5.01.2020 r:, w której organ ten nałożył administracyjną karę pieniężną w wysokości 85 588 zł:

 

Prezes UODO stwierdził:

niewykonanie przez Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia […] lutego 2020 roku

Nakazem, który został skierowany do Przedsiębiorcy polegał na dokonaniu prawidłowego zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych. Tej decyzji Przedsiębiorca nie kwestionował w drodze skargi administracyjnej.

Przedsiębiorca został wezwany przez Prezesa UODO, aby w terminie 7 dni wykonał nakaz wynikający z prawomocnej decyzji administracyjnej oraz do:

udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania.

Przedsiębiorca, reprezentowany przez profesjonalnego pełnomocnika, wskazał, że:

W odpowiedzi pełnomocnik Przedsiębiorcy pismem, które wpłynęło do UODO w dniu […] grudnia 2020 roku, poinformował, że cyt. „nie ma obowiązku wysyłki listów poleconych i wystarczy, że wyślę je listem zwykłym i potwierdzę ich wysyłkę. Nakaz ten wykonałem i potwierdziłem to fakturą i zaświadczeniem pisemnym od pracownika poczty”. Ponadto wskazał, że cyt. „ilość zawiadomień jest poprawna — powtórki pacjentów nie są przypadkowe, są wynikiem tego, że byli oni na wizycie dwukrotnie”.

Prezes UODO nakładając administracyjną karę pieniężną wskazał, że:

W ocenie Prezesa UODO Przedsiębiorca nie udowodnił – ani w trakcie postępowania sprawdzającego wykonanie decyzji Prezesa UODO (o sygn. […]), ani w trakcie niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (o sygn. DKE.561.11.2020.[…] – wykonania skierowanego do niego nakazu decyzji administracyjnej z dnia […] lutego 2020 roku, sygn. […].

Po pierwsze bowiem, Przedsiębiorca udowodnił (przedstawiając kopię pocztowej książki nadawczej) skierowanie w dniu […] czerwca 2020 roku zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Wobec treści tych zawiadomień – bezsprzecznie nieodpowiadających wymogom art. 34 ust. 2 Rozporządzenia 2016/679 – oraz niewielkiej ich liczby w stosunku do wskazanej w zgłoszeniu z dnia […] lipca 2019 roku liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez Przedsiębiorcę – po sprawdzeniu – w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu […] listopada 2020 r.), działania tego w żaden sposób nie można uznać za wykonanie nakazu decyzji Prezesa UODO.

W tym miejscu wskazać należy, że stan naruszenia przepisów Rozporządzenia 2016/679 stanowiącego przedmiot niniejszego postępowania, to jest nieprzestrzegania nakazu orzeczonego przez Prezesa UODO, trwa od dnia […] marca 2020 r., to jest od dnia następującego po dniu, w którym upłynął wyznaczony w decyzji termin na jego wykonanie. Podkreślić natomiast trzeba, że stan naruszenia przepisów Rozporządzenia 2016/679, którego usunięciu służyć miał nakaz decyzji (stan niepoinformowania o naruszeniu osób, których to naruszenie dotyczy), jest zdecydowanie dłuższy; trwa co najmniej od […] lipca 2019 r. kiedy to Przedsiębiorca dokonał zgłoszenia naruszenia ochrony danych osobowych, miał więc już o nim niewątpliwie wiedzę.

W takim stanie faktycznym Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Przedsiębiorcy w przedmiocie nałożenia administracyjnej kary pieniężnej:

Warto śledzić aktualności Judykatura.pl, aby otrzymać informację o opublikowaniu przez Sąd uzasadnienia wskazanego powyżej wyroku – lektura tego uzasadnienia będzie zapewne świetnym źródłem dla innych Przedsiębiorców w zakresie wykonywania prawomocnych nakazów Prezesa UODO oraz prawidłowej treści zawiadomienia osób, których dane dotyczą.