Jak informuje UODO, to pierwsza kara za niewykonanie nakazu nałożonego wobec przedsiębiorcy w decyzji administracyjnej. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.
W konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały. W zawiadomieniu, miały znaleźć się takie informacje, jak:
- opis charakteru naruszenia danych osobowych;
- imię i nazwisko oraz dane kontaktowe do inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.
Według UODO, właściwe wywiązanie się z tego obowiązku pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
Kara za zignorowanie decyzji UODO
Ponieważ przedsiębiorca zignorował decyzję organu nadzorczego, UODO zdecydował o wszczęciu z urzędu postępowania w sprawie nałożenia administracyjnej kary pieniężnej. - Należy nadmienić, że przedsiębiorca pomimo udzielenia mu przez Urząd szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności, nawet na etapie postępowania w sprawie nałożenia kary nie przedstawił kompletnych dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu decyzji został przez niego wykonany - stwierdza w komunikacie Urząd Ochrony Danych Osobowych.
Urząd podaje, że nakładając karę wziął pod uwagę czynniki obciążające tj. :
- długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
- umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania.
- Niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczy o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych - komentuje Urząd.
Czytaj: WSA: Prezes UODO mógł ukarać niemiecką spółkę za brak współpracy>>
I dodaje, że organ nadzorczy odpowiada za monitorowanie i egzekwowanie przestrzegania przepisów o ochronie danych osobowych. W przypadku ich nieprzestrzegania przez administratorów, Prezes UODO może skorzystać z przysługujących mu uprawnień naprawczych. Są to m.in., uprawnienia do nakazania administratorowi zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, a także uprawnienia do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej.
Komentarz: Brak współpracy z UODO może skończyć się karą>>
Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020>>