Wojewódzki Sąd Administracyjny w Warszawie 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie nałożenia na Fundację kary finansowej.
Meritum sprawy dotyczyło kary za niedokonanie, wbrew przepisom RODO, zgłoszenia naruszenia ochrony danych osobowych i niepoinformowanie beneficjentów Fundacji, których dane zostały utracone na skutek kradzieży teczek z dokumentami.
WSA potwierdził brak dokonania odpowiedniego zgłoszenia naruszenia bezpieczeństwa danych przez Fundację, która jako administrator danych osobowych była do tego zobowiązana. Tymczasem brak zgłoszenia mógł także doprowadzić do naruszenia praw i wolności osób, których dane zostały utracone. W konsekwencji doszło więc do naruszenia przepisów RODO.
Sąd potwierdził także, iż UODO słusznie założył, że w efekcie przedmiotowego incydentu dojść mogło do poważnych szkód obejmujących straty finansowe, kradzież i fałszowanie tożsamości, dyskryminację oraz naruszenie dobrego imienia osoby fizycznej. Zaniechanie zaś zawiadomienia, o którym mowa uniemożliwiło podjęcie przez podmioty danych jakichkolwiek działań naprawczych i nie pozwoliło na zminimalizowanie ewentualnych negatywnych skutków tego naruszenia.
W ocenie WSA, mając na uwadze powyższe, nałożona na Fundację kara pieniężna była słuszna oraz adekwatna do zaistniałej sytuacji, co w konsekwencji doprowadziło do oddalenia skargi Fundacji. Sygn. akt II SA/Wa 2993/21
Ochrona danych osobowych: sprawdź ofertę
Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Administrator danych osobowych w związku z zaistniałym naruszeniem ochrony danych osobowych ma następujące obowiązki:
Dowiedz się więcej, sprawdź Outsourcing IOD
Wdrożenie odpowiednich procedur w zakresie postępowania na wypadek wystąpienia lub podejrzenia wystąpienia naruszenia ochrony danych, to podstawa polityki bezpieczeństwa danych w każdej organizacji. Szybkość podejmowanych działań oraz odpowiednia sprawność identyfikacji incydentu, ma kluczowe znaczenie dla bezpieczeństwa organizacji w zakresie przetwarzania danych osobowych.
Administrator w razie wystąpienia naruszenia ochrony danych powinien dokonać oceny ryzyka i sklasyfikować dany incydent pod kątem naruszenia praw i wolności osób fizycznych. Jeśli w ramach przeprowadzonej oceny stwierdzi ryzyko naruszenia praw i wolności osób fizycznych, zobligowany jest bezzwłocznie poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych.
Ponadto, co istotne, bez względu na ocenę ryzyka, administrator w przypadku wystąpienia jakiegokolwiek incydentu zobligowany jest także do uruchomienia środków zaradczych mających zredukować ryzyka i zapewnić odpowiedni stopień bezpieczeństwa danym osobowym.
Czytaj także: Jakie wytyczne zawierają kodeksy branżowe RODO?
Zobacz także