bg
Chcę wiedzieć o...
Strona główna
Artykuły
O naruszeniu ochrony danych osobowych należy poinformować bez zbędnej zwłoki

O naruszeniu ochrony danych osobowych należy poinformować bez zbędnej zwłoki

Dodano: 2022-11-03
Publikator: Urząd Ochrony Danych Osobowych

WSA w Warszawie w wyroku z dnia 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO. Decyzja ta nakładała administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o zaistniałym incydencie osób, których dane dotyczą.

Jesienią 2020 r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację. W sprawie chodziło o utratę danych osobowych wielu osób. Wydarzenie miało miejsce na początku 2020 r. i było powiązane z kradzieżą teczek zawierających dane osobowe beneficjentów. Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych do UODO. Nie zawiadomił także o naruszeniu osób, których powyższe dotyczyło. W efekcie organ nadzorczy w czerwcu 2021 r. nałożył na Fundację administracyjną karę pieniężną, od której administrator odwołał się do WSA w Warszawie.

Sąd potwierdził jednak, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Dodatkowo administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych. Przywołane stanowi o naruszeniu przepisów RODO.

WSA zaznacza, że UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia. Obejmują one, np. dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe czy naruszenia dobrego mienia. Sąd potwierdził także, że w tym konkretnym przypadku – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem. Utracone dane pozwalały bowiem na łatwą identyfikację tych osób.

W ocenie WSA, co należy podkreślić: „brak takiej reakcji ze strony administratora doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia”. 

Artykuły powiązane

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...