UODO: O incydencie trzeba zawiadomić organ nadzorczy i osoby, których dane dotyczą
Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana administracyjną karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą. Dodatkowo UODO nakazało Fundacji zawiadomienie osób, których dane dotyczą o zaistniałym naruszeniu w terminie 3 dni od doręczenia decyzji.
Jesienią 2020 r. do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów. W związku z tym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami wynikającymi z RODO.
UODO zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu. W odpowiedzi na pismo Urząd otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego.
W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Co ważne, w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL. Natomiast należy zaznaczyć, że szczególne kategorie danych osobowych nie były przetwarzane.
Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, organ nadzorczy wszczął wobec Fundacji postępowanie administracyjne.
Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.
Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób.
Nie bez znaczenia jest fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem.
Fundacja podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.
W toku postępowania ustalono, iż utracona dokumentacja nie podlegała odtworzeniu. Zatem jeżeli Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.
W ocenie UODO, zastosowana administracyjna kara pieniężna spełnia w swoje funkcje, a zatem jest – w tym indywidualnym przypadku – skuteczna, proporcjonalna i odstraszająca.
Decyzja znajduje się pod linkiem: https://uodo.gov.pl/decyzje/DKN.5131.11.2020.
Źródło: Urząd Ochrony Danych Osobowych