Wyrok WSA dla Fundacji

Po ostatnim wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 sierpnia 2022 r. (II SA/Wa 2993/21), wyraźnie widać, ze najprostsze błędy przy naruszeniach ochrony danych osobowych, mogą powodować, że obawy się urealniają.

Początek problemu

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra, jesienią 2020 r. utraciła – na skutek kradzieży – teczki zawierające dane osobowe 96 beneficjentów. Teczki zawierały dokumentację, w której zawarte były takie dane jak: imię, nazwisko, numer telefonu, adres korespondencyjny oraz w przypadku kilku osób możliwy PESEL. Fundacja, w odpowiedzi na zapytanie Urzędu, stwierdziła, według własnej analizy, że naruszenie było na niskim poziomie, więc nie było potrzeby zgłaszać tego do Urzędu lub informować beneficjentów.

Z powyższym nie zgodził się Urząd. Decyzją (DKN.5131.11.2020) z 30 czerwca 2021 r. wskazał, że Fundacja dokonała naruszenia poprzez:

1. Niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
2. Niezawiadomienie o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.

Z uwagi na powyższe UODO nałożył administracyjną karę pieniężną w wysokości 13 644 zł oraz zobowiązał Fundację do zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Droga sądowa

Fundacja – jako administrator – odwołała się od powyższej decyzji do WSA w Warszawie. Niestety dla Fundacji rozstrzygnięcie nie było pozytywne. Sąd w sierpniu 2022 r. wydał wyrok oddalający skargę.

Sąd wskazał, że decyzja wydana przez UODO była poprawna, jak i zawarta w niej argumentacja. Administrator powinien dokonać zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego oraz bez zbędnej zwłoki, zawiadomić osoby, których dotyczyło przedmiotowe naruszenie.

Sąd wskazał również, że w przypadku takiego naruszenia mogą wystąpić realne szkody wobec osób, których dane były zawarte w dokumentacji: dyskryminacja, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Dane pozwalały na identyfikację osób, a więc ryzyko naruszenia praw i wolności  było wysokie, a brak reakcji administratora pozbawiło te osoby możliwości podjęcia jakichkolwiek działań. Analiza Fundacji, wskazująca na niskie ryzyko, nie znalazła poparcia na drodze sądowej.

Naruszenie – wnioski

Główną nauczką, miejmy nadzieję na błędach innych, a nie własnych, jest fakt, iż ukrywanie naruszenia często jest gorsze, niż przyznanie się i próba naprawienia sytuacji.

Zdajemy sobie sprawę, że gdy przydarzy się taka sytuacja, a przedsiębiorstwo nie ma doświadczenia w radzeniu sobie z incydentami związanymi z danymi osobowymi, to droga „ukrycia” wydaje się łatwiejsza. Zachęcamy jednak do kontaktu i współpracy z firmami – jak nasze Blue Energy – które specjalizują się w takich sytuacjach oraz odejmują cały stres i zmartwienia z tym związane. Takie sytuacje to nie tylko kara nałożona przez UODO, jest to również grupa niezadowolonych klientów/kontrahentów/pracowników,  którzy posiadają dostęp do Internetu i wyrażają w nim opinię.

ŹRÓDŁO: https://uodo.gov.pl/pl/138/246