Coroczne podsumowanie administracyjnych kar pieniężnych nakładanych przez Prezesa UODO to już nasza tradycja. Każdy pierwszy w nowym roku artykuł poświęcony jest dokładnej analizie nurtu decyzyjnego polskiego organu nadzorczego w roku minionym. Zachęcamy do zapoznania się z podsumowaniem działalności organu nadzorczego w roku 2022.
W ubiegłym roku polski organ nadzorczy nałożył 13 kar finansowych, których łączna suma wyniosła 6 150 933 zł. Dla porównania w poprzednim 2021 roku było 14 administracyjnych kar pieniężnych, a ich łączna suma wynosiła ponad 2,2 mln zł. W 2020 roku Prezes UODO wydał 10 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła prawie 3,5 mln zł. Natomiast w 2019 roku było 8 decyzji nakładających kary pieniężne, a ich łączna suma wynosiła ponad 4 mln zł. Do tej pory łączna suma kar nałożonych przez Prezesa UODO wynosi ponad 16 mln zł, a było ich 45.
Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2022 r. (jest to również rekordowa kara nałożona przez polski organ nadzorczy kiedykolwiek) wynosiła prawie 5 mln zł. i została nałożona z powodu niewdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych, które mogłyby zapewnić bezpieczeństwo danych osobowych oraz braku weryfikacji podmiotu przetwarzającego. Natomiast najniższa – to kara o wysokości 2 285 zł. nałożona z powodu braku współpracy z organem nadzorczym.
Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2022 roku
Z 13 decyzji UODO o ukaraniu administratorów danych osobowych:
- 5 dotyczyły podmiotów publicznych;
- 6 dotyczyło sektora prywatnego;
- 2 dotyczyły osób fizycznych;
- aż 7 wydanych zostało wskutek wpłynięcia skarg;
- 8 wydanych zostało w związku z naruszeniami ochrony danych (w tym 3-ma niezgłoszonymi);
- 3 nałożone kary dotyczyły braku współpracy z organem nadzorczym.
Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.
1) Santander Bank Polska S.A.
Wysokość kary: 545 748 PLN
Decyzja Prezesa UODO z dnia 19 stycznia 2022 r.
Pierwszym podmiotem, który w 2022 r. został ukarany przez organ nadzorczy był Santander Bank Polska S.A. Powodem ukarania organizacji było naruszenie przepisów RODO polegające na niezawiadomieniu o naruszenia bez zbędnej zwłoki osób, których dane dotyczą. Organ nadzorczy nakazał zawiadomić te osoby o zaistniałej sytuacji i potencjalnych konsekwencjach z nią związanych.
Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku miał nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W związku z tym mógł on przeglądać dane pracowników Banku znajdujące się na profilu tego płatnika w PUE ZUS. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień, pięciokrotnie logując się do platformy. Bank umieścił w firmowym Intranecie komunikat przypominający zasady przetwarzania danych osobowych. W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go indywidualnie, wyciągnąć z niego wnioski i odpowiednio zareagować.
Tym samym organ nadzorczy uznał, że zamieszczony w Intranecie Banku komunikat nie spełniał wymagań art. 34 RODO. Głównie dlatego, że zamieszczona informacja była ogólna i nie wskazywała wprost, że do naruszenia doszło oraz jaki charakter ono miało. Ponadto wskazano, że opublikowanie komunikatu w wybrany sposób nie pozwoliło na dotarcie do osób, które nie były już wówczas pracownikami Banku, ale poufność ich danych mogła zostać naruszona. Urząd wskazał, że informacja wymagana art. 34 RODO musi być przekazana w sposób, który umożliwi zapoznanie się z nią, odpowiedni dla kategorii osób, do których powinna być skierowana. Prezes UODO podkreślił, że dla określenia ryzyka związanego z naruszeniem nie jest ważne urzeczywistnienie się ryzyka, ale sam fakt wystąpienia zagrożenia.
2) Fortum Marketing and Sales Polska S.A. oraz PIKA Sp. z o.o.
Wysokość kary: 4 911 732 PLN oraz 250 135 PLN
Decyzja Prezesa UODO z dnia 22 stycznia 2022 roku
Rok 2022 Prezes UODO rozpoczął nałożeniem na administratora rekordowej administracyjnej kary pieniężnej, która wynosiła prawie 5 mln zł. Tą samą decyzją ukarano również podmiot przetwarzający, na który nałożono sankcję w wysokości 250 135 zł.
Powodem ukarania było niewdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych, które mogłyby zapewnić bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.
Fortum Marketing and Sales jest dostawcą prądu i gazu. Organizacja w kwietniu 2020 r. zgłosiła do organu nadzorczego naruszenie ochrony danych osobowych polegające na skopiowaniu danych klientów przez nieuprawnione osoby. Działania związane były ze zmianami przeprowadzanymi w systemie teleinformatycznym dla archiwum cyfrowego, za które odpowiadał podmiot przetwarzający (PIKA).
Współpraca pomiędzy administratorem a procesorem odbywała się na podstawie podpisanych umów, w tym umowy powierzenia przetwarzania danych osobowych. Mimo, że umowa jasno określała, że podmiot przetwarzający musi stosować wymogi bezpieczeństwa (takie jak m.in. pseudonimizacja i szyfrowanie danych osobowych) to PIKA nie wywiązywała się z tego obowiązku.
Naruszenie objęło 137 314 klientów Fortum Marketing and Sales, którzy o tym fakcie nie zostali powiadomieni przez administratora. Szczegóły dotyczące tej sprawy zostały przez nas opisane w Komunikacie IOD-y.
3) Pełnomocnik inicjatorów referendum gminnego (P.K.)
Wysokość kary: 2 285 PLN
Decyzja Prezesa UODO z dnia 23 marca 2022 r. (decyzja została usunięta ze strony UODO)
W lutym 2021 r. do organu nadzorczego wpłynęła informacja od Komisarza Wyborczego, która wskazywała na nieprzedłożenie przez pełnomocnika inicjatorów referendum gminnego w sprawie odwołania Rady Gminy (P.K.) protokołu zniszczenia kart zawierających podpisy mieszkańców uprawnionych do udziału w referendum.
W związku z otrzymaniem zgłoszenia organ nadzorczy skierował do P.K. pismo z prośbą o udzielenie informacji na zadane w nim pytania. Pismo zostało przez P.K. odebrane osobiście, jednak nie udzielił on odpowiedzi na pytania Prezesa UODO. W związku z tym organ nadzorczy ponownie skierował do P.K. pismo, na które również nie została udzielona odpowiedź. W kolejnych pismach organ nadzorczy poinformował adresata, że brak odpowiedzi na wezwanie Prezesa UODO skutkować może nałożeniem administracyjnej kary pieniężnej.
W związku z tym Prezes UODO stwierdził naruszenie przepisów art. 31 i art. 58 ust. 1 lit. e RODO, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych organowi nadzorczemu do realizacji jego zadań. I ukarał pełnomocnika inicjatorów referendum gminnego administracyjną karą pieniężną.
4) Stołeczny Ośrodek dla Osób Nietrzeźwych
Wysokość kary: 10 000 PLN
Decyzja Prezesa UODO z dnia 31 maja 2022 r.
Do Prezesa UODO wpłynęło zawiadomienie o praktykach stosowanych przez Stołeczny Ośrodek dla Osób Nietrzeźwych w Warszawie, polegających na utrwalaniu bez podstawy prawnej obrazu, a nawet dźwięku w miejscach udzielania świadczeń zdrowotnych.
W ośrodku system rejestrujący dźwięk i obraz funkcjonował całą dobę, a jego celem miało być „sprawowanie stałego nadzoru nad osobami doprowadzonymi w celu wytrzeźwienia dla zapewnienia im bezpieczeństwa”. Okres przez jaki przechowywane były nagrania wynosił co najmniej 30, ale nie dłużej niż 60 dni. Zdaniem prezesa UODO „nagrywanie dźwięku jest w przedmiotowym przypadku działaniem nadmiarowym”. Wskazany przez administratora cel monitoringu Prezes UODO uznał za chybiony, ponieważ „pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych”. Rejestrowanie dźwięku to uprawnienie zastrzeżone przede wszystkim dla służb (m.in. ABW, CBA, Policji) i to w konkretnych sytuacjach przewidzianych przepisami prawa.
W decyzji Prezes UODO przywołał dokument Europejskiej Rady Ochrony Danych „Wytyczne 3/19 w sprawie przetwarzania danych osobowych przez urządzenia wideo”, zgodnie z którym „zapis audiowizualny stanowi niewątpliwie większą formę ingerencji w prywatność niż sam obraz”. Według organu nadzorczego Ośrodek przetwarzając dźwięk i obraz nie może powołać się na żadną z przesłanek wymienionych w art. 6 ust. 1 RODO. Więcej informacji o nałożonej karze można znaleźć w naszym Komunikacie IOD-y.
5) E Sp. z o.o. Sp. k.
Wysokość kary: 15 994 PLN
Decyzja Prezesa UODO z dnia 6 czerwca 2022 r.
Do Prezesa UODO wpłynęło zawiadomienie od policji wskazujące na potencjalne nieprawidłowości związane z przetwarzaniem danych osobowych przez E Sp. z o.o. Sp. k. W związku z tym organ nadzorczy wezwał spółkę do złożenia wyjaśnień w tej sprawie. W toku przeprowadzonych czynności wyjaśniających okazało się, że doszło do zagubienia świadectwa pracy, które miało zostać włączone do akt osobowych pracownika podczas ich kompletowania.
Osoba, której dane zaginęły, została poinformowana o tym fakcie. Nie rościła ona jednak pretensji do pracodawcy z tego powodu. W związku z tym oraz z uwagi na rzekomy (w ocenie spółki) „brak ryzyka naruszenia praw i wolności” nie dokonano zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.
Organ nadzorczy stwierdził, że „uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych”. Świadectwa pracy zawierają szeroki zakres danych osobowych. Można w nich znaleźć podstawowe dane indentyfikacyjne (np. imię i nazwisko, data urodzenia) oraz informacje zawierające dane szczególnie istotne z punktu widzenia praw lub wolności osoby, której dotyczą (np. dotyczące egzekucyjnego zajęcia wynagrodzenia). Więcej informacji o nałożonej na E Sp. z o.o. Sp. k. karze znajduje się w Komunikacie IOD-y.
6) Główny Geodeta Kraju
Wysokość kary: 60 000 PLN
Decyzja Prezesa UODO z dnia 7 lipca 2022 roku
Główny Geodeta Kraju (GGK) już w latach poprzednich był karany przez Prezesa UODO, o czym informowaliśmy w Komunikacie IOD-y. Wówczas powodem ukarania był przede wszystkim brak współpracy z organem nadzorczym oraz „udostępnianie na portalu o nazwie GEOPORTAL2 („geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków (prowadzonej przez starostów)”. Tym razem GGK nie zgłosił naruszenia ochrony danych osobowych oraz nie zawiadomił o tym fakcie osób, których dane osobowe zostały ujawnione.
Na początku kwietnia 2022 roku przez ponad 48 godzin w serwisie www.geoportal.gov.pl, który prowadzony jest przez GGK, widoczne były numery ksiąg wieczystych. Dysponując numerem księgi wieczystej, w łatwy sposób można ustalić szereg danych właścicieli nieruchomości, takich jak m.in. ich numery PESEL, imiona, nazwiska, imiona rodziców, adres nieruchomości. Organ nadzorczy o naruszeniu dowiedział się jednak nie od administratora (który ten fakt powinien zgłosić), ale z mediów. W związku z tym 7 kwietnia 2022 r. Prezes UODO skierował do GGK pismo, w którym poinformował o obowiązku zgłaszania naruszeń oraz o konieczności zawiadamiania o nich podmiotów danych (w przypadku, gdy istnieje wysokie ryzyko naruszenia praw lub wolności tych osób).
W związku z tym, że nie odnotowano zgłoszenia naruszenia ochrony danych osobowych od GGK, Prezes UODO wszczął postępowanie administracyjne. W toku czynności wyjaśniających GGK utrzymywał (tak jak i wcześniej), że numery ksiąg wieczystych nie są danymi osobowymi, a „w zaistniałej sytuacji nie może być mowy o naruszeniu ochrony danych osobowych”. Ponadto GGK utrzymywał, że numery ksiąg są też widoczne w innych serwisach, a „krótkotrwałe pojawienie się numerów w serwisie www.geoportal.gov.pl nie spowodowało jakiegokolwiek ryzyka naruszenia praw i wolności osób, których dane dotyczą”.
W ocenie UODO brak zgłoszenia naruszenia organowi nadzorczemu uniemożliwia mu odpowiednią reakcję na takie zdarzenia, jak i weryfikację podjętych przez administratora czynności po takim zdarzeniu.
7) Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego
Wysokość kary: 10 000 PLN
Decyzja Prezesa UODO z dnia 6 lipca 2022 r.
Organ nadzorczy został powiadomiony przez Rzecznika Praw Pacjenta o możliwości naruszenie przepisów RODO w Uniwersyteckim Centrum Klinicznym Uniwersytetu Medycznego. Miało ono polegać na otrzymaniu przez jednego z pacjentów skierowania do poradni specjalistycznej zawierającego dane osobowe innego pacjenta, w postaci imienia i nazwiska, adresu zamieszkania, numeru PESEL oraz informacji o stanie zdrowia. Organ nadzorczy wszczął postępowanie zmierzające do wyjaśnienia zaistniałej sytuacji.
W toku postępowania administrator potwierdził, że doszło do omyłkowego wpisania na skierowaniu do poradni specjalistycznej danych osobowych innego pacjenta. Po dokonaniu analizy uznał on, że na skierowaniu pojawiły się dane osobowe nieistniejącej w rzeczywistości osoby. Zdarzenie to zakwalifikowano jako incydent bezpieczeństwa, ale uznano, iż nie wywiera ono znaczących skutków dla praw lub wolności osoby, której dane dotyczą. W związku z tym zaniechano dokonania zgłoszenia naruszenia organowi nadzorczemu oraz nie zawiadomiono o nim osoby, której dane dotyczą.
Jednak zdaniem UODO w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobie nieuprawnionej. W ocenie Prezesa UODO dokument wydany przez lekarza zawierał jedynie omyłkę w imieniu pacjenta, a pozostałe dane zawarte w skierowaniu (tj. nazwisko, adres zamieszkania oraz PESEL), dotyczyły już tego konkretnego pacjenta. Dlatego nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby. Pomimo błędu w imieniu tej osoby, można ją w sposób łatwy zidentyfikować za pomocą innych dostępnych informacji.
8) Sułkowicki Ośrodek Kultury
Wysokość kary: 2 500 PLN
Decyzja Prezesa UODO z dnia 16 sierpnia 2022 r.
W maju 2020 r. do Prezesa UODO wpłynęło od Sułkowickiego Ośrodka Kultury (SOK) zgłoszenie informujące o naruszeniu ochrony danych osobowych. 30 osób, które zostały poszkodowane to obecni oraz byli pracownicy administratora. Organ nadzorczy wszczął postępowanie w tej sprawie. W jego toku okazało się, że SOK powierzył K.G. przetwarzanie danych osobowych bez zawarcia umowy wymaganej art. 28 RODO (co ciekawe administrator nie jest w posiadaniu jakiejkolwiek umowy stwierdzającej podjęcie współpracy z podmiotem przetwarzającym). SOK nie przeprowadził również uprzedniej weryfikacji procesora pod kątem wdrożenia przez niego odpowiednich środków technicznych i organizacyjnych spełniających wymogi RODO. Zadaniem podmiotu przetwarzającego było wykonywanie zadań z zakresu rachunkowości (m.in. prowadzenie ksiąg rachunkowych, sporządzanie raportów, przechowywanie dokumentacji w postaci ewidencji i deklaracji VAT). Procesor przetwarzał dane w zakresie imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków i/lub posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych dotyczących zdrowia.
Z wyjaśnień SOK wynika, że pomimo braku stosownej umowy doszło do faktycznego powierzenia przetwarzania danych osobowych K.G. Procesor przez cały okres współpracy przechowywał w swojej siedzibie dokumentację SOK (we wcześniej wspomnianym zakresie), w związku z czym administrator nie jest w posiadaniu dokumentów dotyczących rozliczeń z ZUS w okresie od września 2017 r. do grudnia 2018r. oraz nie może uzyskać do nich dostępu. Dlatego SOK nie jest w stanie udostępniać na żądanie inspektora ZUS dokumentów w formie papierowej „wynikających z wezwań ZUS do wyjaśnień nieprawidłowości sporządzonej dokumentacji, naliczania składek oraz ustalania zobowiązań publiczno-prawnych SOK jak również całkowitym brakiem możliwości udostępniania na żądanie inspektora ZUS dokumentów w formie papierowej”. Wszystkie te dokumenty pozostają w posiadaniu procesora. Prośby skierowane przez SOK do K.G. o informacje, wyjaśnienia oraz zwrot przetwarzanych danych osobowych okazały się bezskuteczne.
Prezes UODO podkreśla, że „decyzja komu administrator miałby powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Konsekwencje podjęcia pochopnej decyzji, braku odpowiedniej formy czy treści umowy powierzenia lub zaniedbania obowiązku ciągłej weryfikacji przez administratora gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, mogą bowiem dotknąć bezpośrednio osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu”. Sprawa ta została przez nas wspomniana w Komunikacie IOD-y informującym o obowiązkach związanych z powierzeniem przetwarzania danych osobowych.
9) T. Sp. z o.o.
Wysokość kary: 31 988 PLN
Decyzja Prezesa UODO z dnia 30 sierpnia 2022 r. (decyzja została usunięta ze strony UODO)
W grudniu 2019 r. do Prezesa UODO od T. Sp. z o.o. wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane za pośrednictwem platformy biznes.gov.pl. Zgłoszenie zostało podpisane przez członka zarządu spółki (A.T.). Jego treść brzmiała „zgłoszenie naruszenia ochrony danych osobowych w załączniku”. Nie odnotowano jednak załącznika, którym mógł być wypełniony formularz przeznaczony dla tego rodzaju zgłoszeń.
Z uwagi na brak informacji niezbędnych Prezesowi UODO do oceny naruszenie ochrony danych osobowych podjął on decyzję o wszczęciu postępowania wyjaśniającego w tej sprawie. W grudniu 2020 r. zwrócił się do spółki z prośbą o przedstawienie treści przedmiotowego zgłoszenia. Pismo wysłano za pośrednictwem Poczty Polskiej na adres spółki pozyskany z KRS. Pismo było dwukrotnie awizowane i ostatecznie nie zostało przez spółkę odebrane. W związku z obowiązującymi przepisami k.p.a. stanowiącymi o skuteczności doręczeń uznano, że pismo zostało odebrane przez spółkę w dniu, w którym ubiegł 14-dniowy okres przechowywania przesyłki w placówce pocztowej.
W piśmie z lutego 2021 r. Prezes UODO ponownie zwrócił się do spółki z wezwaniem do dostarczenia treści zgłoszenia. To pismo również nie zostało przez spółkę odebrane. W kolejnym piśmie pouczono T. Sp. z o.o. o tym, że brak złożenia wyjaśnień może skutkować nałożeniem na spółkę administracyjnej kary pieniężnej.
Ostatecznie Prezes UODO w podjętej decyzji stwierdził naruszenie przez spółkę art. 58 ust. 1 lit. a oraz e RODO, polegające na niezapewnieniu organowi nadzorczemu dostępu do informacji niezbędnych do realizacji jego zadań.
10) R.G.
Wysokość kary: 6 854 PLN
Decyzja Prezesa UODO z dnia 3 sierpnia 2022 r.
M.R. złożyła skargę do organu nadzorczego na nieprawidłowości w procesie przetwarzania jej danych osobowych przez R.G. Skarżąca twierdziła, że utrwalał on jej wizerunek za pomocą monitoringu wizyjnego bez podstawy prawnej oraz nie spełnił wobec niej obowiązku informacyjnego.
W związku z tym pismem z listopada 2020 r. Prezes UODO wezwał administratora (R.G.) do ustosunkowania się do treści skargi oraz do złożenia wyjaśnień w tej sprawie. Wezwanie zostało nadane przez Pocztę Polską na wskazany przez skarżącą adres zamieszkania R.G. Pismo było dwukrotnie awizowane, a R.G. ostatecznie go nie odebrał. W związku z tym skierowano kolejne pismo, które administrator tym razem odebrał osobiście. Pismo zostało jednak pozostawione bez jakiejkolwiek odpowiedzi. Prezes UODO skierował do R.G. kolejne pismo, które także zostało odebrane przez niego osobiście i pozostawione bez odpowiedzi. Pisma zawierały pouczenie o konsekwencjach związanych z brakiem współpracy z organem nadzorczym.
Z uwagi na powyższe na administratora nałożona została administracyjna kara pieniężna w wysokości 6 854zł wynikająca z braku współpracy z organem nadzorczym oraz niezapewnienia mu informacji niezbędnych do realizacji jego zadań.
11) Wójt Gminy Dobrzyniewo Duże
Wysokość kary: 8 000 PLN
Decyzja Prezesa UODO z dnia 2 listopada 2022 r.
Do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, którego dopuścił się Wójt Gminy Dobrzyniewo Duże. Do naruszenia doszło w lutym 2022 r. w wyniku włamania się do mieszkania pracownika urzędu gminy oraz kradzieży jego laptopa, na którym znajdowały się dane osobowe. Wójt wskazywał, że komputer zawierał 51 rekordów z danymi osobowymi w zakresie: imię i nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL.
Prezes UODO wszczął postępowanie w tej sprawie i zwrócił się na piśmie do Wójta o udzielenie niezbędnych informacji. W toku czynności wyjaśniających okazało się, że administrator nie stosował adekwatnych środków technicznych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych przetwarzanych z wykorzystaniem komputera przenośnego, zgodnie z wymaganiem art. 32 ust. 2 RODO.
W związku z powyższym Prezes UODO stwierdził naruszenie przez Wójta Gminy Dobrzyniewo Górne przepisów RODO i nałożył na niego administracyjną karę pieniężną w wysokości 8 000 zł.
12) P4 Sp. z o.o.
Wysokość kary: 250 000 PLN
Decyzja Prezesa UODO z dnia 3 listopada 2022 r.
Prezes UODO decyzją z dnia 3 listopada 2022 r. nałożył administracyjną karę pieniężną w wysokości 250 tys. zł na P4 Sp. z o.o. (operatora sieci PLAY). Powodem ukarania było niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów Prawa telekomunikacyjnego, tj. 24 godzin od jego wykrycia oraz brak niezwłocznego zawiadomienia o zdarzeniu osoby, której dane dotyczą.
W lutym 2022 r. do organu nadzorczego wpłynęło powiadomienie od osoby, która była nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej z P4 przez inną osobę. W związku z otrzymaniem zgłoszenia Prezes UODO zwrócił się do spółki z prośbą o ustosunkowanie się. W odpowiedzi udzielonej przez spółkę wyjaśniono, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, która następnie została wysłana na adres wskazany przez klienta. Niestety adres był nieprawidłowy, ponieważ w organizacji nie wprowadzono mechanizmów zapewniających realizację zasady prawidłowości.
W ocenie operatora telekomunikacyjnego zdarzenie nie spowodowało naruszenia ochrony danych osobowych, dlatego zaniechano zgłoszenia go do UODO oraz nie zawiadomiono osoby, której dane dotyczą. Spółka nie uzasadniła swojej oceny zdarzenia. Administrator w momencie otrzymania informacji o wszczęciu postepowania przez organ nadzorczy postanowił jednak zrealizować obowiązki wynikające z art. 33 i 34 RODO. W ocenie organu nadzorczego czynności te nastąpiły jednak zdecydowanie za późno, dlatego zdecydowano by kontynuować postępowanie (mimo wykonania obowiązków prawnych przez administratora) w celu wydania decyzji o nałożeniu administracyjnej kary pieniężnej.
Należy pamiętać, że o naruszeniu zawiadamia się organ „bez zbędnej zwłoki”, ale w przepisach prawa podano nieprzekraczalny termin 24 godzin dla operatorów telekomunikacyjnych i 72 godzin dla pozostałych administratorów. Podobnie „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą (…)”. Więcej informacji poruszających problematykę prawidłowej obsługi naruszeń ochrony danych osobowych zostało zawartych w Komunikacie IOD-y.
13) Wspólnicy Kancelarii
Wysokość kary: 45 697 PLN
Decyzja Prezesa UODO z dnia 30 listopada 2022 r.
W marcu 2021 r. Komendant Policji w związku z wykonywaniem czynności zleconych mu przez Prokuraturę Rejonową skierował do Prezesa UODO wniosek o przeprowadzenie czynności kontrolnych w kancelarii prawnej. W związku z otrzymaniem zgłoszenia organ nadzorczy skierował do wspólników kancelarii pisma z prośbą o złożenie wyjaśnień. Odpowiedzi na pisma były niewyczerpujące oraz znacznie przeciągnięte w czasie. W związku z tym Prezes UODO wszczął w tej sprawie postępowanie.
W toku prowadzonego postępowania administracyjnego okazało się, że wspólnicy kancelarii przetwarzali dane osobowe swoich potencjalnych klientów (w tym dane o stanie zdrowia) bez wyraźnej podstawy prawnej. Zgoda na przetwarzania danych osobowych była udzielana ustnie bez jej udokumentowania. Nie prowadzono również żadnych działań zmierzających do zaewidencjonowania pozyskanych zgód. Więcej informacji o karze nałożonej na wspólników kancelarii znaleźć można w Komunikacie IOD-y.
Podsumowanie
W 2022 roku działania organu nadzorczego nie były ograniczone żadnymi restrykcjami tak jak wcześniej z powodu obostrzeń związanych z COVID-19. Niemniej jednak nie można tego wyraźnie odczuć, ponieważ aktywność UODO nie odbiegała poziomem od lat poprzednich.
W minionym roku organ nadzorczy poprzez swoje decyzje po raz kolejny zaznaczył, że nikt nie może czuć się bezkarny lekceważąc przepisy o ochronie danych osobowych. Kary nakładane było zarówno na podmioty publiczne, gigantów z sektora prywatnego, jak i osoby fizyczne. W każdym przypadku możemy stwierdzić, że wysokość kar była dotkliwa i można jej było przypisać charakter odstraszający.
Prezes UODO znowu wielokrotnie podkreślił, że brak współpracy z organem nadzorczym nie uchroni przed odpowiedzialnością za naruszenie przepisów RODO i może przysporzyć administratorom jeszcze więcej problemów. Przekonały się o tym aż 3 podmioty, które w pełni świadomie uniemożliwiły przeprowadzenie czynności kontrolnych organowi nadzorczemu.
W 2023 również będziemy wnikliwie przyglądać się decyzjom nakładanym przez Prezesa UODO i analizować je na bieżąco, a podsumowanie zostanie przez nas opublikowane za rok w kolejnym artykule z tej serii.
Plan kontroli sektorowych na 2023 rok
Na oficjalnej stronie Urzędu Ochrony Danych Osobowych opublikowany został plan kontroli sektorowych na 2023 rok. Zgodnie z nim w tym roku na celowniku organu nadzorczego będą przede wszystkim:
- Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (po raz kolejny);
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych (po raz kolejny);
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych).