Kolejna kara UODO za niezgłoszenie naruszenia – przestroga dla administratorów

Ostatnia decyzja Prezesa Urzędu Ochrony Danych osobowych, dotycząca braku zgłoszenia incydentu Urzędowi oraz braku zawiadomienia osoby, której dane dotyczą o zaistniałym naruszeniu, może stanowić istotną lekcję dla wszystkich administratorów. Jakie wnioski powinni wyciągnąć ADO?

Naruszenie danych osobowych klientów – okoliczności sprawy

W czasie transportu dokumentów pomiędzy oddziałem banku a jego centralą, doszło do zgubienia przesyłki, w której znajdowały się umowy oraz pełnomocnictwo zawierające dane osobowe, takie jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. Przesyłający dokumenty administrator korzystał z usług firmy kurierskiej.

Administrator danych osobowych poinformował klientów o zdarzeniu (informacja nie zawierała jednak elementów wymaganych przez RODO) oraz ocenił, że nie doszło do naruszenia, które skutkowałoby koniecznością zgłoszenia incydentu Prezesowi UODO, ze względu na „średnie” ryzyko naruszenia praw i wolności osób, których dane dotyczą.

O zdarzeniu Prezesa UODO poinformowali klienci, którzy złożyli skargę na przetwarzanie ich danych osobowych przez administratora.

Wnioski Prezesa UODO

 UODO podkreślił, że zgłoszenia wymagają te z incydentów, w przypadku których istnieje prawdopodobieństwo („wyższe niż małe”) szkodliwego wpływu na prawa lub wolności osób, których dane dotyczą. Według Prezesa Urzędu, szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na konsekwencje, takie jak kradzież ich danych, straty finansowe czy naruszenie dobrego imienia – oznacza to, że niezbędne było ich poinformowanie zgodnie z zasadami określonymi w art. 34 RODO.

Prezes Urzędu Ochrony Danych Osobowych kilkukrotnie wskazywał również, że kluczowe jest ryzyko nieuprawnionego wejścia w posiadanie określonych danych, a nie faktyczne zapoznanie się z nimi.

W decyzji podkreślono również wagę naruszenia poufności numeru PESEL, który w ocenie organu nadzorczego powinien podlegać szczególnej ochronie. W tym zakresie, w omawianej decyzji możemy znaleźć szerokie uzasadnienie powszechnego już stanowiska Prezesa UODO.

Nałożona kara jest stosunkowo wysoka – ponad 363 tysiące złotych. Określając jej wymiar, Urząd wziął jednak pod uwagę m.in. to, że w toku postępowania administrator danych osobowych w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem oraz nie współpracował z organem na oczekiwanym przez niego poziomie.

Wskazówki dla administratorów danych osobowych

 Choć decyzja ma charakter indywidualny, może być lekcją dla wszystkich administratorów.

Kolejny raz Prezes UODO zwraca uwagę na:

• znaczenie naruszenia, obejmującego numer PESEL,
• konieczność zgłaszania naruszeń, jeżeli poziom ryzyka naruszenia jest „wyższy niż mały”, a także,
• istotną rolę współpracy z organem, która może mieć znaczenie przy określaniu wysokości nakładanych kar.

Biorąc powyższe pod uwagę, najważniejsze w każdym przypadku jest przeprowadzenie szczegółowej analizy zaistniałego naruszenia, przy uwzględnieniu interpretacji i stanowisk prezentowanych przez organ nadzorczy. W tym miejscu warto również wspomnieć (na co zwrócono uwagę także w omawianej decyzji), że w przypadku wątpliwości co do oceny naruszenia, zalecane jest zgłoszenie go do organu nadzorczego. Następnie zaś kluczowa może okazać się prawidłowa współpraca z UODO.

Zapraszamy do kontaktu z naszymi doradcami, w razie zainteresowania wsparciem z zakresu ochrony danych osobowych.

Łukasz Pociecha
Senior Associate | Adwokat
lukasz.pociecha@olesinski.com

Katarzyna Wężyk
Associate | Dział prawny
katarzyna.wezyk@olesinski.com