bg
Chcę wiedzieć o...
Strona główna
Artykuły
O naruszeniu ochrony danych osobowych należy poinformować bez zbędnej zwłoki

O naruszeniu ochrony danych osobowych należy poinformować bez zbędnej zwłoki

Dodano: 2022-11-03
Publikator: Urząd Ochrony Danych Osobowych

WSA w Warszawie w wyroku z dnia 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO. Decyzja ta nakładała administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o zaistniałym incydencie osób, których dane dotyczą.

Jesienią 2020 r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację. W sprawie chodziło o utratę danych osobowych wielu osób. Wydarzenie miało miejsce na początku 2020 r. i było powiązane z kradzieżą teczek zawierających dane osobowe beneficjentów. Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych do UODO. Nie zawiadomił także o naruszeniu osób, których powyższe dotyczyło. W efekcie organ nadzorczy w czerwcu 2021 r. nałożył na Fundację administracyjną karę pieniężną, od której administrator odwołał się do WSA w Warszawie.

Sąd potwierdził jednak, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Dodatkowo administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych. Przywołane stanowi o naruszeniu przepisów RODO.

WSA zaznacza, że UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia. Obejmują one, np. dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe czy naruszenia dobrego mienia. Sąd potwierdził także, że w tym konkretnym przypadku – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem. Utracone dane pozwalały bowiem na łatwą identyfikację tych osób.

W ocenie WSA, co należy podkreślić: „brak takiej reakcji ze strony administratora doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia”. 

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...