WSA potwierdził słuszność kary za zaniechanie zgłoszenia naruszenia ochrony danych osobowych

WSA potwierdził słuszność kary za zaniechanie zgłoszenia naruszenia ochrony danych osobowych

Violetta Matusiak, Inspektor Danych Osobowych, Crowe
15.11.2022
WSA potwierdził słuszność kary za zaniechanie zgłoszenia naruszenia ochrony danych osobowych
Konsekwencją zaniechania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz niezawiadomienia o incydencie osób, których utracone dane dotyczą jest kara pieniężna. Wojewódzki Sąd Administracyjny (WSA) w Warszawie w wyroku z 31 sierpnia 2022 r. potwierdził stanowisko UODO w tej kwestii.

Utrata danych osobowych podlega natychmiastowemu zgłoszeniu

Wojewódzki Sąd Administracyjny w Warszawie 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie nałożenia na Fundację kary finansowej.

Meritum sprawy dotyczyło kary za niedokonanie, wbrew przepisom RODO, zgłoszenia naruszenia ochrony danych osobowych i niepoinformowanie beneficjentów Fundacji, których dane zostały utracone na skutek kradzieży teczek z dokumentami.

WSA potwierdził brak dokonania odpowiedniego zgłoszenia naruszenia bezpieczeństwa danych przez Fundację, która jako administrator danych osobowych była do tego zobowiązana. Tymczasem brak zgłoszenia mógł także doprowadzić do naruszenia praw i wolności osób, których dane zostały utracone. W konsekwencji doszło więc do naruszenia przepisów RODO.

Sąd potwierdził także, iż UODO słusznie założył, że w efekcie przedmiotowego incydentu dojść mogło do poważnych szkód obejmujących straty finansowe, kradzież i fałszowanie tożsamości, dyskryminację oraz naruszenie dobrego imienia osoby fizycznej. Zaniechanie zaś zawiadomienia, o którym mowa uniemożliwiło podjęcie przez podmioty danych jakichkolwiek działań naprawczych i nie pozwoliło na zminimalizowanie ewentualnych negatywnych skutków tego naruszenia.

W ocenie WSA, mając na uwadze powyższe, nałożona na Fundację kara pieniężna była słuszna oraz adekwatna do zaistniałej sytuacji, co w konsekwencji doprowadziło do oddalenia skargi Fundacji. Sygn. akt II SA/Wa 2993/21

Ochrona danych osobowych: sprawdź ofertę

Obowiązki administratora w zakresie naruszeń ochrony danych osobowych

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Administrator danych osobowych w związku z zaistniałym naruszeniem ochrony danych osobowych ma następujące obowiązki:

  • zgłoszenie naruszenia do organu nadzorczego w ciągu 72h od jego wykrycia;
  • powiadomienie osoby, której dane dotyczą o wystąpieniu incydentu i możliwych konsekwencjach dla praw i wolności osoby fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • przeprowadzenie analizy naruszenia oraz podjęcie, na jej podstawie, działań mających na celu przeciwdziałanie skutkom naruszeń i zapobieganie przyszłym incydentom.

Dowiedz się więcej, sprawdź Outsourcing IOD

Wdrożenie odpowiednich procedur w zakresie postępowania na wypadek wystąpienia lub podejrzenia wystąpienia naruszenia ochrony danych, to podstawa polityki bezpieczeństwa danych w każdej organizacji. Szybkość podejmowanych działań oraz odpowiednia sprawność identyfikacji incydentu, ma kluczowe znaczenie dla bezpieczeństwa organizacji w zakresie przetwarzania danych osobowych.

Administrator w razie wystąpienia naruszenia ochrony danych powinien dokonać oceny ryzyka i sklasyfikować dany incydent pod kątem naruszenia praw i wolności osób fizycznych. Jeśli w ramach przeprowadzonej oceny stwierdzi ryzyko naruszenia praw i wolności osób fizycznych, zobligowany jest bezzwłocznie poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych.

Ponadto, co istotne, bez względu na ocenę ryzyka, administrator w przypadku wystąpienia jakiegokolwiek incydentu zobligowany jest także do uruchomienia środków zaradczych mających zredukować ryzyka i zapewnić odpowiedni stopień bezpieczeństwa danym osobowym.

Czytaj także: Jakie wytyczne zawierają kodeksy branżowe RODO?

Ochrona danych osobowych