Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę finansową za nieprzestrzeganie nakazu z art. 83 ust. 6 RODO

Data publikacji: 10-02-2021

85.588 zł, tyle wynosi administracyjna kara pieniężna nałożona na przedsiębiorcę prowadzącego działalność gospodarczą w zakresie ochrony zdrowia.


Co spowodowało nałożenie kary?
Sytuacja była dosyć zawiła, przejdźmy przez nią pismo po piśmie, miesiąc po miesiącu. 


W lipcu 2019 roku do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. (zwaną dalej również „Przedsiębiorcą”), w którym poinformowała ona Urząd o nieuprawnionym skopiowaniu danych osobowych stu pacjentów przez byłego pracownika. W zgłoszeniu wskazano, że naruszenie dotyczyło danych, takich jak: imiona i nazwiska, numer PESEL, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer telefonu. Przedsiębiorca, zgodnie z wewnętrzną procedurą, ocenił ryzyko naruszenia praw i wolności osób fizycznych na wysokie, jednak nie zdecydował się na zawiadomienie osób, których dane dotyczą. 


Prezes UODO zareagował na zgłoszenie Przedsiębiorcy i w swoim wystąpieniu z sierpnia 2019 r. wezwał go do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.


Przedsiębiorca nie zareagował na wystąpienie PUODO, w związku z czym PUODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu. W lutym 2020 roku PUODO w swojej decyzji nakazał Przedsiębiorcy zawiadomienie osób, których dane dotyczą w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna (nie została wniesiona skarga do WSA – decyzja stała się prawomocna w kwietniu 2020 roku). 


W maju 2020 r. PUODO wszczął postępowanie sprawdzające i wezwał Przedsiębiorcę do przedłożenia wykazu osób, które powiadomiono o naruszeniu, złożenia wyjaśnień co do sposobu, w jaki przekazano im informację oraz okazania dowodów na ich przekazanie. W odpowiedzi na wezwanie Przedsiębiorca poinformował UODO, że „Niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu złożonym przez K. Obecnie w naszych placówkach leczy się ponad […] osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest awykonalne”.


W czerwcu 2020 r. PUODO skierował do Przedsiębiorcy upomnienie, wzywające Przedsiębiorcę do wykonania nakazu decyzji w terminie 7 dni i odpowiedniego udokumentowania tego faktu (wykaz osób, kopie potwierdzeń nadania, wzór wysłanego zawiadomienia). Tym razem pełnomocnik Przedsiębiorcy zareagował i w czerwcu 2020 r. przedstawił kopie dziesięciu zawiadomień przesłanych listem poleconym wraz z treścią zawiadomienia: „Informujemy, że w roku 2019 mogło dojść do naruszenia Pani/Pana danych osobowych (imię, nazwisko, nr telefonu) przez jednego z naszych lekarzy (D. B.). Jednocześnie informujemy, że ta osoba w naszej klinice już nie pracuje i toczy się przeciwko niemu postępowanie wyjaśniające. W razie pytań prosimy o kontakt z administratorem RODO w naszej placówce: M. K.”. Informacje przesłane przez Przedsiębiorcę nie spełniały wymagań z art. 34 ust. 2 RODO, w związku z czym PUODO wezwał do uzupełnienia wyjaśnień oraz przedstawienia dowodów wykonania decyzji. 


W lipcu 2020 r. pełnomocnik Przedsiębiorcy wyjaśnił, że jego zdaniem wszystkie wymagania UODO zostały spełnione, a te, które nie zostały, są niemożliwe do zrealizowania.
We wrześniu 2020 r. PUODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej. W odpowiedzi na pismo informujące o wszczęciu postępowania pełnomocnik Przedsiębiorcy zobowiązał się do ponownego powiadomienia osób, których dane dotyczą. W październiku 2020 r. przesłał on do UODO informację o powiadomieniu 37 osób, kopię wystawionej przez Pocztę Polską S.A. faktury dokumentującej zakup 37 znaczków pocztowych oraz kopię oświadczenia o treści „Potwierdzamy nadanie przez Pana M. K. listów zwykłych w ilości 37 sztuk” opatrzonego nieczytelnym podpisem. 


W listopadzie 2020 r. PUODO wezwał Przedsiębiorcę do uzupełnianie dowodów, wskazując, że przesłane wyjaśnienia nie dają podstawy do jednoznacznego stwierdzenia, że wykonał on decyzję. W odpowiedzi pełnomocnik Przedsiębiorcy pismem z grudnia 2020 roku, poinformował, że cyt. „nie ma obowiązku wysyłki listów poleconych i wystarczy, że wyślę je listem zwykłym i potwierdzę ich wysyłkę. Nakaz ten wykonałem i potwierdziłem to fakturą i zaświadczeniem pisemnym od pracownika poczty”.


Co wpłynęło na wymiar kary?
Charakter, waga i czas trwania naruszenia – „Lekceważenie przez Przedsiębiorcę orzeczonego wobec niego przez Prezesa UODO nakazu, będącego w istocie skonkretyzowaniem obowiązku przewidzianego przepisami Rozporządzenia 2016/679, oznacza w istocie lekceważenie przepisów o ochronie danych osobowych i roli Prezesa UODO w systemie ochrony danych określonym przepisami Rozporządzenia 2016/679. Takie postępowanie Przedsiębiorcy będącego podmiotem profesjonalnie i na dużą skalę przetwarzającego dane osobowe pacjentów (w tym dane dotyczące zdrowia, a więc dane podlegające szczególnej ochronie na mocy art. 9 Rozporządzenia 2016/679) uznać należy za mające dużą wagę i za szczególnie naganne. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Przedsiębiorcę naruszenie nie było zdarzeniem jednorazowym i incydentalnym; postępowanie Przedsiębiorcy podlegające ocenie w niniejszym postępowaniu ma charakter ciągły i długotrwały. Trwa od dnia […] marca 2020 r., to jest od dnia następującego po dniu, w którym upłynął wyznaczony w decyzji termin na wykonanie nakazu zawartego w decyzji, do chwili obecnej”.
Umyślny charakter naruszenia – „Przedsiębiorca w toku postępowania ignorował zalecenia Urzędu co do poprawnego wykonania ciążącego na nim obowiązku, co wskazuje na celowe nieprzestrzeganie nakazu. Podkreślić należy, że na żadnym etapie postępowania Przedsiębiorca nie przedstawił kompletnych dowodów na wykonanie nakazu decyzji”.
Niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – Lekceważenie przez Przedsiębiorcę pism kierowanych do niego przez PUODO, brak reakcji, niepodejmowanie działań.

Pełna treść decyzji PUODO dostępna jest pod adresem: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020


Nina Kowalik
Kancelaria Wyrzykowscy