WSA potwierdził słuszność kary za zaniechanie zgłoszenia naruszenia ochrony danych osobowych

Utrata danych osobowych podlega natychmiastowemu zgłoszeniu

Wojewódzki Sąd Administracyjny w Warszawie 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie nałożenia na Fundację kary finansowej.

Meritum sprawy dotyczyło kary za niedokonanie, wbrew przepisom RODO, zgłoszenia naruszenia ochrony danych osobowych i niepoinformowanie beneficjentów Fundacji, których dane zostały utracone na skutek kradzieży teczek z dokumentami.

WSA potwierdził brak dokonania odpowiedniego zgłoszenia naruszenia bezpieczeństwa danych przez Fundację, która jako administrator danych osobowych była do tego zobowiązana. Tymczasem brak zgłoszenia mógł także doprowadzić do naruszenia praw i wolności osób, których dane zostały utracone. W konsekwencji doszło więc do naruszenia przepisów RODO.

Sąd potwierdził także, iż UODO słusznie założył, że w efekcie przedmiotowego incydentu dojść mogło do poważnych szkód obejmujących straty finansowe, kradzież i fałszowanie tożsamości, dyskryminację oraz naruszenie dobrego imienia osoby fizycznej. Zaniechanie zaś zawiadomienia, o którym mowa uniemożliwiło podjęcie przez podmioty danych jakichkolwiek działań naprawczych i nie pozwoliło na zminimalizowanie ewentualnych negatywnych skutków tego naruszenia.

W ocenie WSA, mając na uwadze powyższe, nałożona na Fundację kara pieniężna była słuszna oraz adekwatna do zaistniałej sytuacji, co w konsekwencji doprowadziło do oddalenia skargi Fundacji. Sygn. akt II SA/Wa 2993/21

Ochrona danych osobowych: sprawdź ofertę

Obowiązki administratora w zakresie naruszeń ochrony danych osobowych

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Administrator danych osobowych w związku z zaistniałym naruszeniem ochrony danych osobowych ma następujące obowiązki:

• zgłoszenie naruszenia do organu nadzorczego w ciągu 72h od jego wykrycia;
• powiadomienie osoby, której dane dotyczą o wystąpieniu incydentu i możliwych konsekwencjach dla praw i wolności osoby fizycznych;
• prowadzenie wewnętrznej ewidencji naruszeń;
• przeprowadzenie analizy naruszenia oraz podjęcie, na jej podstawie, działań mających na celu przeciwdziałanie skutkom naruszeń i zapobieganie przyszłym incydentom.

Dowiedz się więcej, sprawdź Outsourcing IOD

Wdrożenie odpowiednich procedur w zakresie postępowania na wypadek wystąpienia lub podejrzenia wystąpienia naruszenia ochrony danych, to podstawa polityki bezpieczeństwa danych w każdej organizacji. Szybkość podejmowanych działań oraz odpowiednia sprawność identyfikacji incydentu, ma kluczowe znaczenie dla bezpieczeństwa organizacji w zakresie przetwarzania danych osobowych.

Administrator w razie wystąpienia naruszenia ochrony danych powinien dokonać oceny ryzyka i sklasyfikować dany incydent pod kątem naruszenia praw i wolności osób fizycznych. Jeśli w ramach przeprowadzonej oceny stwierdzi ryzyko naruszenia praw i wolności osób fizycznych, zobligowany jest bezzwłocznie poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych.

Ponadto, co istotne, bez względu na ocenę ryzyka, administrator w przypadku wystąpienia jakiegokolwiek incydentu zobligowany jest także do uruchomienia środków zaradczych mających zredukować ryzyka i zapewnić odpowiedni stopień bezpieczeństwa danym osobowym.

Czytaj także: Jakie wytyczne zawierają kodeksy branżowe RODO?