WSA w Warszawie w wyroku z dnia 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO. Decyzja ta nakładała administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o zaistniałym incydencie osób, których dane dotyczą.
Jesienią 2020 r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację. W sprawie chodziło o utratę danych osobowych wielu osób. Wydarzenie miało miejsce na początku 2020 r. i było powiązane z kradzieżą teczek zawierających dane osobowe beneficjentów. Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych do UODO. Nie zawiadomił także o naruszeniu osób, których powyższe dotyczyło. W efekcie organ nadzorczy w czerwcu 2021 r. nałożył na Fundację administracyjną karę pieniężną, od której administrator odwołał się do WSA w Warszawie.
Sąd potwierdził jednak, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Dodatkowo administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych. Przywołane stanowi o naruszeniu przepisów RODO.
WSA zaznacza, że UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia. Obejmują one, np. dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe czy naruszenia dobrego mienia. Sąd potwierdził także, że w tym konkretnym przypadku – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem. Utracone dane pozwalały bowiem na łatwą identyfikację tych osób.
W ocenie WSA, co należy podkreślić: „brak takiej reakcji ze strony administratora doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia”.
