12 Cze

Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych.

Uwaga na marginesie: skrót pochodzi z treści decyzji, tutaj warto zwrócić uwagę, ze w wielu przypadkach „anonimizacja” danych administratora w decyzjach jest zupełnie nieskuteczna, bo bez problemu można rozszyfrować kogo decyzja dotyczy.

Wracając do firmy Y. S.A., każde ze zgłoszeń dotyczyło udostępnienia danych osobowych osobie nieupoważnionej. W każdym przypadku, ponieważ zdarzenie było jednorazowe i zakończyło się w momecnie udostępnienia, tzn. naruszenie nie było naruszeniem trwającym, Prezes UODO uznał ewentualne postępowanie w tej sprawie za bezpodstawne. Jednakże w każdym z przypadków Prezes UODO miał zastrzeżenia do sposobu postępowania przez administratora w zakresie zawiadomiania osób, których dane dotyczą  o naruszeniu ich danych.  W każdym z przypadków Prezes UODO nakazał administratorowi zawiadomienie lub ponowne zawiadomienie tych osób (jeżeli pierwsze było niekompletne). Co ciekawe, administrator postanowił odwołać się od nakazów Prezesa UODO, w efekcie czego otrzymał informację o wszczęściu kontroli, jednakże zanim do niej doszło wykonał nakaz i postępowanie kontrolne zostało umorzone.

Powyższa historia jest bardzo pouczająca, ponieważ pokazuje, że dla Prezesa UODO liczy się to, aby administrator doprowadził do stanu zgodnego z przepisami prawa, a podstawowym narzędziem jest nakazanie administratorowi konkretnego działania.

Numery decyzji dotyczących postępowań wobec spółki Y. S.A.:

ZWAD.405.85.2018, ZWAD.405.158.2018, ZWAD.405.153.2018, ZWAD.405.154.2018, ZWAD.405.88.2018, ZWAD.405.9.2018, ZWAD.405.29.2018, ZWAD.405.28.2018, ZWAD.405.27.2018, ZWAD.405.26.2018, ZWAD.405.25.2018, ZWAD.405.23.2018, ZWAD.405.22.2018, ZWAD.405.11.2018, ZWAD.405.10.2018.

Wracając do możliwości nałożenia kary przez Prezesa UODO, analiza przebiegu postępowań zakończonych karami administracyjnymi, wykazuje że kara jest kolejnym krokiem podejmowanym przez organ nadzorczy, jeżeli adminstrator nie wykonał nakazu UODO. Tak było w przypadku prawie milionowej kary za niewypełnienie obowiązku informacyjnego (ZSPR.421.3.2018) oraz kary w wysokości prawie 60 tys. wobec DZPN za nieskuteczne usunięcie nielegalnie udostępnionych na stronie internetowej danych sędziów piłkarskich (ZSPR.440.43.2019). Każdy z tych administratorów miał możliwość uniknięcia kary, gdyby wykonał nakaz, który otrzymał w wyniku pierwszego postępowania wobec niego przez Prezesa UODO.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych


 

Data aktualizacji: 12 czerwca 2019