Ponad 13 tys. zł kary za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki

Data publikacji: 23-07-2021

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana administracyjną karą pieniężną za niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomieniu o incydencie osób, których dane dotyczą.


Jaka do tego doszło?

  1. W październiku 2020 r. do UODO wpłynęło „zawiadomienie  o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych” przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA, polegającego na: „utracie danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów”. Jak wynika ze złożonego zawiadomienia, kradzież była przedmiotem „postępowania karnego prowadzonego przez Prokuraturę Rejonową”. Niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa z art. 279 kk, nie zaś utraty dokumentów zawierających dane osobowe”. O podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych organ nadzorczy został poinformowany przez Ministerstwo Sprawiedliwości będące organem sprawującym nadzór nad Fundacją.
  2. W listopadzie 2020 r. Prezes UODO zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych naruszenie zostało zgłoszone organowi nadzorczemu. Ponadto w przypadku odpowiedzi przeczącej PUODO zobowiązał Fundację: do przesłania  przeprowadzonej analizy naruszenia, do udzielenia informacji, czy został wyznaczony inspektor ochrony danych. Fundacja miała 7 dni na odpowiedź na powyższe wezwanie.
  3. Fundacja w listopadzie 2020 r. poinformowała Prezesa UODO, że:
    1. nie zgłaszała organowi nadzorczemu naruszenia,
    2. nie ma wyznaczonego w swojej organizacji inspektora ochrony danych,
    3. dokonano analizy naruszenia, której wynik wskazał na niski poziom zagrożeń. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO.
  4. Prezes UODO wezwał Fundację do wskazania:
    1. liczby osób, których dotyczyło naruszenie ochrony danych osobowych i kategorii danych osobowych zawartych w utraconej dokumentacji z ich wyszczególnieniem (dane szczególnej kategorii, dane dotyczące wyroków skazujących),
    2. w jaki sposób skradziona dokumentacja zawierająca dane osobowe była zabezpieczona przed osobami nieupoważnionymi, czy utracona dokumentacja została odtworzona i w jakim terminie.
  5. W grudniu 2020 r. Fundacja poinformowała, że:
    1. naruszenie dotyczyło 96 osób,
    2. utracona dokumentacja zawierała: imię, nazwisko, adres do korespondencji, numer telefonu oraz prawdopodobnie numer ewidencyjny PESEL, niemniej wyłącznie 3-4 osoby, których dane osobowe zostały utracone, posiadają polskie obywatelstwo, pozostałe osoby nie posiadają polskiego obywatelstwa, a tym samym nie posiadają numeru PESEL”,
    3. nie były przetwarzane szczególne kategorie danych osobowych, l
    4. okal, w którym była dokumentacja, miał należyte zabezpieczenie w postaci: podwójnego wejścia do lokalu z atestowanymi zamkami, pomieszczenia w lokalu posiadają drzwi zamykane na klucz, jest zainstalowany monitoring oraz alarm obsługiwany przez profesjonalną firmę ochroniarską, w lokalu są kasy pancerne oraz szafy zamykane na klucz,
    5. sprawy prowadzone przez Fundację zostały już zamknięte, wobec czego utracona dokumentacja nie podlegała odtworzeniu.

Prezes wszczął postępowanie administracyjne oraz wezwał Fundację do udzielenia kolejnych wyjaśnień.

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, a w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.
Zgodnie z RODO z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób. 

Fundacja nie zawiadamiając UODO, jak i osób, których dane dotyczą, pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom.

Po przeprowadzeniu postępowania administracyjnego Prezes UODO nałożył na Fundację karę finansową w wysokości 13 644 PLN (słownie: trzynaście tysięcy sześćset czterdzieści cztery złote), co stanowi równowartość 3 000 EUR. W ocenie UODO zastosowana administracyjna kara pieniężna spełnia w swoje funkcje, a zatem jest - w tym indywidualnym przypadku - skuteczna, proporcjonalna i odstraszająca.

Pełna treść decyzji dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/DKN.5131.11.2020


Nina Zacharska
Kancelaria Wyrzykowscy