Kolejna kara pieniężna za brak zawiadomienia UODO o naruszeniu danych

Data dodania:
Kara UODO za brak zawiadomienia o naruszeniu danych

Fundacja, zajmująca się świadczeniem pomocy prawnej, ukarana za brak zawiadomienia UODO o naruszeniu danych osobowych.

Kara UODO za brak zawiadomienia o naruszeniu danych
Kara UODO za naruszenie RODO

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”, „organ nadzorczy”) nałożył na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra (dalej: „Fundacja”) administracyjną karę pieniężną w wysokości 13644 zł za naruszenie RODO. Powodem nałożenia kary było niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych, oraz niezawiadomienie o incydencie osób, których dotyczył wyciek danych.

Najnowsza decyzja UODO dotyczy uchybień związanych z niewykonaniem obowiązku zgłoszenia naruszenia danych osobowych, do którego doszło w październiku 2020 r. w wyniku kradzieży teczek, zawierających dane osobowe 96 niezidentyfikowanych beneficjentów fundacji m.in. imię, nazwisko, adres do korespondencji, numer telefonu oraz numer PESEL.

„Zgodnie z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.”

Początkiem sprawy było „zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych” w związku z utratą danych wielu osób na skutek kradzieży dokumentów w biurze terenowym Fundacji. Następnie Prezes UODO zwrócił się do Fundacji o ustosunkowanie się do treści skargi oraz udzielenie odpowiedzi na pytania dotyczące formalnego zgłoszenia naruszenia ochrony danych. Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO i braku zawiadomienia osób, których dotyczyło naruszenie, Prezes UODO wszczął wobec Fundacji postępowanie administracyjne.
W odpowiedzi Fundacja wskazała, że nie zawiadomiła o sprawie UODO ani osób, których dane dotyczą, ponieważ uznała zdarzenie za obarczone niskim ryzykiem. Z ustaleń poczynionych przez organ nadzorczy wynika, że Fundacja nie była w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji ani nie próbowała zweryfikować faktycznego zakresu danych osobowych objętych naruszeniem, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia.

W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym było nie wykonanie oceny zdarzenia ani obowiązków związanych ze zgłoszeniem naruszenia ochrony danych do organu nadzorczego i zawiadomienia zainteresowanych osób, co wynika z art. 33-34 RODO. Fundację obciążał również brak kopii skradzionych dokumentów. Nie była ich w stanie odtworzyć nawet przy użyciu systemu informatycznego.

Obowiązek zgłoszenia do UODO naruszenia ochrony danych

UODO w uzasadnieniu decyzji o nałożeniu kary podał, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Podkreślił jednak, że samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowane osoby.

Obowiązek zawiadomienia osób, których dane osobowe wyciekły

Prezes UODO uznał, że Fundacja podejmując decyzję o niezawiadomieniu organu nadzorczego o naruszeniu, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Prezes UODO podkreślił, że w przypadku, gdy Fundacja nie była w stanie zidentyfikować osób, których dotyczył wyciek, to powinna dokonać zawiadomienia w sposób ogólny np. poprzez wydanie publicznego komunikatu.

Czas na zgłoszenie naruszenia to tylko 72 h

Urząd Ochrony Danych Osobowych przypomina, że na wywiązanie się z obowiązku zgłoszenia naruszenia ochrony danych mamy 72 godzin po stwierdzeniu naruszenia. Ważny jest szybki czas reakcji na zaistniałe naruszenia, która ma zapewnić osobom, których dane dotyczą, możliwość jak najlepszego zabezpieczenia swoich danych np. w przypadku kradzieży tożsamości czy wyłudzenia pożyczki. Takie sytuacje mają miejsce, gdy wyciekły dane widniejące w naszych dokumentach tożsamości – imię i nazwisko, nr PESEL, czy adres zamieszkania.

„Zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w RODO”.

Co z tego wynika?

Prezes UODO sporą wagę przykłada do przestrzegania obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych. Konsekwencją są kolejne kary pieniężne kierowane do administratorów danych w związku z brakiem zawiadomienia lub nieterminowym zawiadomieniem Prezesa UODO i poszkodowanych ewentualnym wyciekiem danych osób. Na powyższym przykładzie widać także, że art. 33 i 34 RODO sprawiają wiele problemów administratorom danych, którym trudno jest dokonać właściwej oceny, czy powstałe w ich organizacjach naruszenie ochrony danych podlega zgłoszeniu oraz jak wyliczyć czas powstania naruszenia.

Z decyzją można się zapoznać pod następującym linkiem: https://uodo.gov.pl/decyzje/DKN.5131.11.2020