Dotkliwe kary pieniężne za niezawiadomienie UODO o naruszeniu ochrony danych osobowych

Niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych lub spóźnione zgłoszenie to jedne z najczęstszych przyczyn nakładania administracyjnych kar pieniężnych przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Co więcej, praktyka pokazuje, że do zdyscyplinowania administratorów kary w takich przypadkach mogą być wysokie.

Zgłoszenie naruszenia ochrony danych osobowych

Na początek przypominamy kilka najważniejszych informacji o obowiązku notyfikacji.

Administrator ma obowiązek zgłosić naruszenie ochrony danych osobowych nie później niż w ciągu 72 godzin od jego stwierdzenia, chyba że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Jeśli zgłoszenie nastąpi po terminie, to trzeba wskazać przyczyny opóźnienia.

Przed zgłoszeniem należy przeprowadzić analizę ryzyka naruszenia praw i wolności podmiotu danych, uwzględniając przy tym 3 kluczowe kwestie przedstawione widoczne na grafice.

analiza ryzyka naruszenia praw i wolności podmiotu danych musi zawierać

W przypadku stwierdzenia, że zdarzenie może powodować naruszenie praw lub wolności osób fizycznych, dokonanie zgłoszenia do organu nadzorczego jest obowiązkowe.

Organ nadzorczy podkreśla, że trzeba zachować szczególną ostrożność przy tzw. przypadkach pośrednich kwalifikujących się na pograniczu prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Przypadki, w których nie ma obowiązku poinformowania organu nadzorczego, należy traktować jako wyjątek. Występują one wyłącznie wtedy, gdy przeprowadzona ocena pozwoli na przyjęcie, że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. UODO radzi, aby do oceny ryzyka podchodzić racjonalnie, ale i krytycznie.

Wysokie kary pieniężne

PUODO może wszcząć postępowanie wyjaśniające lub kontrolę bez względu na źródło informacji o zdarzeniu. Natomiast, jeśli organ nie dowiaduje się o zdarzeniu od samego administratora, tylko z mediów lub od osoby fizycznej, której dotyczy zgłoszenie, to szanse na wszczęcie postępowania wyjaśniającego są wyższe.

Poniżej opisujemy dwie sprawy, w których kary wyniosły kolejno:

  • 1 mln 440 tys. zł – administrator nie zgłosił naruszenia ochrony danych osobowych organowi nadzorczemu.
  • 78 575,40 zł – administrator zgłosił naruszenie po wymaganym terminie (72 godziny od stwierdzenia naruszenia).

Sprawa nr 1 – brak zgłoszenia naruszenia organowi nadzorczemu

Naruszenie ochrony danych polegało na upublicznieniu danych osobowych, znajdujących się w porzuconej przesyłce, która wcześniej została skradziona firmie kurierskiej. Administratorem danych zawartych w przesyłce był bank. W treści dokumentów znajdowały się dane osobowe ok. 158 osób. Poza informacjami dotyczącymi polis ubezpieczeniowych banku, w przesyłce znajdowały się dwie polisy zawierające dane osobowe, których administratorem było inne towarzystwo ubezpieczeniowe. Bank nie poinformował jednak towarzystwa o zaistniałym zdarzeniu.

Administrator nie zgłosił naruszenia ochrony danych do organu nadzorczego z uwagi na to, że przesyłka w krótkim czasie po jej utracie przez kuriera została odnaleziona przez jedną, zidentyfikowaną osobę. Poza tym nie zidentyfikowano braków w dokumentach, a osoba, która odnalazła przesyłkę, zaniosła ją bezpośrednio na policję i oświadczyła, że nie dokonała ich kopii. Administrator nie miał jednak pewności, czy z zawartością skradzionej przesyłki nie zapoznały się inne osoby.

Różnice w ocenach administratora i organu nadzorczego

Przeprowadził on ocenę i ustalił, że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przyjęto więc, że zgłoszenie naruszenia nie jest wymagane. Z taką oceną nie zgodził się jednak organ nadzorczy, który nałożył na podmiot administracyjną karę pieniężną.

Zdaniem organu nadzorczego nie ulega wątpliwości, że w danej sytuacji istniało wysokie prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych, których dane znajdowały się w przesyłce. W swoim stanowisko PUODO wziął pod uwagę okoliczności zdarzenia, takie jak:

  • liczba osób objętych naruszeniem (łącznie 158 osób);
  • zakres danych podlegających naruszeniu (m.in. dane identyfikacyjne takie jak numer PESEL, numer i seria dokumentu tożsamości, numery rachunków bankowych, dane dotyczące posiadanego majątku).

Jako możliwe negatywne konsekwencje zaistniałej sytuacji organ wskazał przykładowo:

  • dyskryminację,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • stratę finansowaną,
  • naruszenie dobrego imienia
  • znaczną szkodę gospodarczą czy społeczną.

Organ nadzorczy podkreślił, że podczas dokonywania oceny ryzyka trzeba uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. Poziom ryzyka będzie tym większy, im konsekwencje naruszenia mogą być poważniejsze lub im bardziej wzrasta prawdopodobieństwo ich wystąpienia.

Sprawa nr 2 – „spóźnione” zgłoszenie

Klientka administratora danych zgłosiła skargę do organu nadzorczego, w której nakreśliła nieprawidłowości w procesie przetwarzania jej danych osobowych przez administratora. Skarga nawiązywała do naruszenia ochrony danych w zdarzeniu polegającym na wysyłce korespondencji zawierającej umowę oraz harmonogram spłaty kredytu do błędnego odbiorcy. Wskutek tego zdarzenia doszło do ujawnienia danych osobowych osobie nieuprawnionej.

Administrator wiedział o zaistniałym zdarzeniu, ale po przeprowadzonej ocenie ryzyka dokonał wyłącznie wpisu do wewnętrznego rejestru naruszeń. Podmiot postanowił zgłosić naruszenie ochrony danych do organu nadzorczego, dopiero gdy ten skierował do niego pytania o zdarzenie (czyli prawie 1,5 roku po jego wystąpieniu). Jako okoliczności uzasadniające opóźnienie wskazano wyłącznie zmianę zasad dokonywania oceny ryzyka wystąpienia naruszenia praw lub wolności osób fizycznych przez organ nadzorczy.

Zdaniem organu nadzorczego brak odpowiedniej i szybkiej reakcji administratora pozbawił UODO oraz osobę, której dane podlegały naruszeniu, możliwości zastosowania środków mających na celu zabezpieczenie bezprawnie ujawnionych informacji. Nie bez znaczenia pozostawało również to, że administratorem danych osobowych była instytucja finansowa, na której ciążyły podwyższone obowiązki ochrony danych osobowych.

Jakie wnioski można wyciągnąć z nałożonych kar oraz stanowisk organu nadzorczego?

  1. Ostrożność przede wszystkim: w razie jakichkolwiek wątpliwości co do poziomu ryzyka naruszenia praw lub wolności podmiotów incydent lepiej jest zgłosić. Nawet nadmierna ostrożność jest lepsza niż jej brak.
  2. Dokładna ocena ryzyka: kluczowe jest przeprowadzenie oceny poziomu ryzyka naruszenia praw lub wolności podmiotu danych, uwzględniając przy tym wszystkie okoliczności zdarzenia oraz prawdopodobieństwo ich wystąpienia. Warto brać pod uwagę wytyczne organów nadzorczych oraz perspektywę osoby, której dane zostały naruszone.
  3. Terminowe zgłoszenie: istotne jest dokonanie zgłoszenia incydentu w wymaganym terminie (oraz zawiadomienie podmiotu danych, jeśli to konieczne). Dzięki temu możliwe jest podjęcie odpowiednich środków zabezpieczających przez PUODO i osobę, której dane zostały naruszone. W przypadku incydentu ujawnienia informacji szybkość reakcji zwykle jest decydująca i pozwala np. zastrzec numer PESEL przed wykorzystaniem danych przez osobę nieuprawnioną. Jeśli dokonanie pełnego zgłoszenia w trakcie 72 godzin od zaistnienia incydentu nie jest możliwe, to trzeba skorzystać z opcji zgłoszenia wstępnego, a następnie je uzupełnić.
3 kluczowe wnioski dla administratorów

Przypomnijmy, że w przypadku braku zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych (lub braku zawiadomienia podmiotu danych) administrator może zostać obciążony karą pieniężną w maksymalnej wysokości do 10 000 000 EURO lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Co więcej, zastosowanie ma zawsze ta kara, która jest wyższa.

Jeśli potrzebują Państwo pomocy w prawidłowym przeprowadzeniu oceny ryzyka wystąpienia naruszenia praw lub wolności osób fizycznych, podjęciu odpowiednich środków zabezpieczających czy dokonaniu zgłoszenia naruszenia ochrony danych do organu nadzorczego – zachęcamy do kontaktu.

Autor: Katarzyna Serwatka

COUNSEL | RADCA PRAWNY | OW LEGAL katarzyna.serwatka@olesinski.com Więcej

Autor: Żaneta Zniszczoł

ASSOCIATE | OW LEGAL zaneta.zniszczol@olesinski.com