WSA utrzymuje karę prawie 14 000 zł za niezgłoszenie naruszenia

Prezes Urzędu Ochrony Danych Osobowych w czerwcu 2021 r. wydał decyzję wobec pewnej Fundacji. Organ nadzorczy nie tylko nakazał administratorowi danych dokonanie zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych, ale także nałożył na administratora karę pieniężną w wysokości prawie 14 000 zł. 

Postępowanie przed organem nadzorczym rozpoczęło się od przesłania przez administratora zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych” przez Fundację polegającego na cyt.: „(…) utracie danych osobowych wielu osób, jaka miała miejsce w dniu […] stycznia 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów (…)” w mazowieckim biurze terenowym w […].

Jak wynika z zawiadomienia, kradzież była przedmiotem cyt.: „(…) postępowania karnego prowadzonego przez Prokuraturę Rejonową w […], sygn.[…], niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa z art. 279 kk, nie zaś utraty dokumentów zawierających dane osobowe.”.

W związku z powyższym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami rozporządzenia 2016/679. O podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych organ nadzorczy został poinformowany pismem o sygn. […] z dnia […] października 2020 r. (data prezentaty: […] października 2020 r.) przez Ministerstwo Sprawiedliwości będące organem sprawującym nadzór nad Fundacją.

W związku z powyższym Prezesem UODO na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu, a w przypadku odpowiedzi przeczącej poproszono o przesłanie przeprowadzonej analizy przedmiotowego naruszenia, a także o udzielenie  informacji, czy został wyznaczony inspektor ochrony danych, a jeżeli tak, to czy administrator konsultował z inspektorem ochrony danych możliwość zgłoszenia naruszenia organowi nadzorczemu.

Newsletter

Fundacja, w odpowiedzi, poinformowała Prezesa UODO, iż:

naruszenie dotyczyło 96 osób, utracona dokumentacja zawierała następujące kategorie danych cyt.: „(…) imię, nazwisko, adres do korespondencji, numer telefonu oraz prawdopodobnie numer ewidencyjny PESEL, niemniej wyłącznie 3-4 osoby, których dane osobowe zostały utracone posiadają polskie obywatelstwo, zaś pozostałe osoby nie posiadają polskiego obywatelstwa, a tym samym nie posiadają numeru PESEL”, nie były przetwarzane szczególne kategorie danych osobowych, a lokal, w którym była dokumentacja, miał należyte zabezpieczenie w postaci: podwójnego wejścia do lokalu z atestowanymi zamkami, pomieszczenia w lokalu posiadają drzwi zamykane na klucz (oprócz sekretariatu), jest zainstalowany monitoring oraz alarm obsługiwany przez profesjonalną firmę ochroniarską, w lokalu są kasy pancerne oraz szafy zamykane na klucz.

w kwestii odtworzenia utraconej dokumentacji Fundacja stwierdziła, iż cyt.: „(…) ze względu na to, że sprawy zostały zamknięte utracona dokumentacja nie podlegała odtworzeniu.”

dokumenty zawierające dane osobowe znajdowały się w lokalu zamykanym na atestowany zamek, objętym monitoringiem, posiadającym włączony alarm, który nadzorowała profesjonalna firma ochroniarska, część teczek była schowana do szafek zamykanych na klucz i w kasie pancernej, a część teczek nie była schowana z uwagi cyt.: „(…) iż były to dokumenty na których pracowano w bieżących sprawach aktualnie prowadzonych przez Fundację (…)”, po zaistniałym incydencie administrator przeprowadził rozmowy dyscyplinujące z pracownikami, ma opracowaną i wdrożoną politykę bezpieczeństwa, cyt.: „Administrator wraz z pracodawcą sprawują nadzór nad pracownikami w przedmiocie przestrzegania przez nich powinności pracowniczych, w tym przestrzegania polityki bezpieczeństwa

Według Prezesa UODO:

nie ulega wątpliwości, że zdarzenie polegające na „(…) utracie danych osobowych wielu osób, jaka miała miejsce w dniu […] stycznia 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów (…)” z uwagi na zakres danych znajdujących się w utraconej dokumentacji stanowi naruszenie poufności danych ze względu na możliwość zapoznania się z ww. danymi przez osobę (osoby) nieuprawnioną oraz naruszenie dostępności danych w związku z tym, że „(…) utracona dokumentacja nie podlegała odtworzeniu”.

w konsekwencji należy uznać, że wystąpiło naruszenie bezpieczeństwa prowadzące do przypadkowego utracenia oraz nieuprawnionego dostępu do danych osobowych przetwarzanych przez Fundację, a zatem naruszenie ochrony danych osobowych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Wojewódzki Sąd Administracyjny w Warszawie podzielił stanowisko organu. W uzasadnieniu orzeczenia Sąd wskazał, że:

Prezes UODO, wydając sporną decyzję administracyjną z dnia […] czerwca 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji;

na wstępie wyjaśnić należy, iż przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia 2016/679);

w świetle powyższego zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko naruszenia praw i wolności osób fizycznych, jako że opisane w części historycznej uzasadnienia naruszenia ochrony danych osobowych będące wynikiem kradzieży 96 teczek zawierających dane osobowe klientów Fundacji może prowadzić do szkód majątkowych i niemajątkowych dla osób, których dane zostały naruszone;

trafnie też organ wskazał przykłady takich szkód, stwierdzając, iż szkody te obejmują dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Nie ulega wątpliwości, iż przywołane przykłady szkód mogą wystąpić w analizowanym przypadku;

w tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu. W przypadku braku kopii skradzionych dokumentów i braku możliwości zidentyfikowania osób, których dane dotyczą zastosowanie znajduje przepis art. 34 ust. 3 lit. c) RODO, co oznacza, że zawiadomienie osób dokonuje się poprzez wydanie publicznego komunikatu lub zastosowanie podobnego środka, czego strona skarżąca nie uczyniła. W związku z powyższym Prezes UODO zasadnie nałożył na Fundację obowiązek określony w pkt 2) decyzji, sprowadzający się do konieczności powiadomienia osób, których dane dotyczą, o zaistniałym w dniu […] stycznia 2020 r. naruszeniu ochrony danych osobowych.

zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

W ocenie Sądu:

zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności