W wyroku z 31 sierpnia 2022 r. sąd oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą.
Skradziono teczki z danymi beneficjentów
Do Urzędu Ochrony Danych Osobowych (UODO) jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA. W sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów. Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło. Konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. przez organ nadzorczy administracyjnej kary pieniężnej. Od decyzji administrator się odwołał do WSA w Warszawie, w ocenie którego skarga nie zasługuje na uwzględnienie.
Cena promocyjna: 119.2 zł
|Cena regularna: 149 zł
|Najniższa cena w ostatnich 30 dniach: 149 zł
Naruszenie praw wielu osób
Sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Nie zawiadomił też bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych. Powyższe stanowi o naruszeniu przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Czytaj w LEX: Obowiązki administratorów związane z naruszeniami ochrony danych osobowych - PORADNIK >>>
Czytaj w LEX: Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 >>>
Zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia. A obejmują one m.in.: dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób.
W ocenie WSA, brak takiej reakcji ze strony administratora doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia.
Sygn. akt II SA/Wa 2993/21