Tradycyjnie pierwszy tegoroczny artykuł na naszym blogu zawiera podsumowanie wydanych przez Prezesa UODO decyzji administracyjnych nakładających kary pieniężne za naruszenie przepisów RODO. Każdy nasz styczniowy artykuł poświęcony jest przedstawieniu nurtu decyzyjnego polskiego organu nadzorczego w roku minionym.
Zachęcamy do zapoznania się z podsumowaniem działalności organu nadzorczego w 2023 roku.
W ubiegłym roku polski organ nadzorczy nałożył rekordową liczbę 20 kar pieniężnych, których łączna suma wyniosła 656 089 zł. Dla porównania:
- W 2022 roku Prezes UODO wydał 13 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła 6 150 933 zł.;
- W 2021 roku Prezes UODO wydał 14 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 2,2 mln zł.;
- W 2020 roku Prezes UODO wydał 10 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła prawie 3,5 mln zł.;
- W 2019 roku Prezes UODO wydał 8 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 4 mln zł.;
Do tej pory łączna suma kar nałożonych przez Prezesa UODO wynosi prawie 17 mln zł, a było ich 65.
Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2023 r. wynosiła 103 752 zł i została nałożona z powodu niezgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego. Natomiast najniższa – to kara o wysokości 472 zł. (najniższa jak dotąd) nałożona z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przez podmiot przetwarzający, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych u administratora.
Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2023 roku
Z 20 decyzji UODO o ukaraniu administratorów danych osobowych:
- 6 dotyczyło podmiotów publicznych;
- 14 dotyczyło sektora prywatnego;
- 12 wydanych zostało wskutek wpłynięcia skarg;
- 7 wydanych zostało w związku ze zgłoszeniem naruszenia;
- 1 wydana została na skutek niewykonania obowiązku wynikającego z wcześniejszej decyzji Prezesa UODO;
- aż 7 nałożonych kar było rezultatem braku współpracy z organem nadzorczym.
Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.
1) Sąd Rejonowy Szczecin-Centrum w Szczecinie
Wysokość kary: 30 000 PLN
Decyzja Prezesa UODO z dnia 19 stycznia 2023 r.
Pierwszym podmiotem, który w 2023 r. został ukarany przez organ nadzorczy był Sąd Rejonowy Szczecin-Centrum w Szczecinie. Powodem nałożenia administracyjnej kary pieniężnej było niewdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych nośników pamięci.
Sprawa została zapoczątkowana 20 września 2020 r. zgłoszeniem do UODO naruszenia przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Polegało ono na zgubieniu trzech nośników danych typu pendrive – jednego służbowego (szyfrowanego) oraz dwóch prywatnych (nieszyfrowanych). Na nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
W wyniku prowadzonego postępowania organ nadzorczy ustalił, że personel sądu wielokrotnie korzystał z prywatnych nośników danych. Były one niezabezpieczone i niezweryfikowane przez dział IT Sądu.
Ponadto okazało się, że mimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych administrator nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
Prezes UODO stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, w celu uniemożliwienia korzystania z prywatnych nośników danych (np. blokady portów USB). Administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były one zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich utraty.
2) S. Sp. z o. o. z siedzibą w R.
Wysokość kary: 18 279 PLN
Decyzja Prezesa UOD z dnia 25 stycznia 2023 r.
Wydanie decyzji zapoczątkowane zostało wpłynięciem do Prezesa UODO 8 lipca 2022 r. skargi Pana M. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez S. Sp. z o.o. z siedzibą w R. Polegały one na udostępnieniu osobom nieuprawnionym danych osobowych skarżącego znajdujących się we wzorze umowy o pracę (w zakresie imienia, nazwiska, adresu, wysokości wynagrodzenia, stanowiska pracy, numeru konta bankowego).
W celu weryfikacji skargi organ nadzorczy zwrócił się do administratora o ustosunkowanie się do twierdzeń w niej zawartych i złożenie wyjaśnień w sprawie. Pismo z wezwaniem zostało odebrane przez adresata 16 sierpnia 2022 r., jednak pozostało bez odpowiedzi. W związku z tym Prezes UODO ponownie zwrócił się do Spółki 3 października 2022 r. W piśmie zawarte było pouczenie, zgodnie z którym brak odpowiedzi na wezwanie skutkować może nałożeniem na Spółkę administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR. Mimo tego administrator ponownie nie ustosunkował się w żaden sposób do odebranego pisma.
W związku z powyższym Prezes UODO stwierdził naruszenie przepisów art. 31 i art. 58 ust. 1 lit. a oraz e RODO, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań.
3) E. Sp. z o.o. z siedzibą w W.
Wysokość kary: 22 848 PLN
Decyzja Prezesa UODO z dnia 25 stycznia 2023 r.
Prezes UODO decyzją z dnia 6 maja 2021 roku nakazał E. Sp. z o.o. z siedzibą we W. usunięcie danych osobowych Pana M. M. w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Decyzja została przez spółkę odebrana 13 maja 2021 r. Od decyzji nie została wniesiona skarga do WSA, z związku z czym 15 czerwca 2021 r. stała się ona prawomocna.
W celu sprawdzenia, czy obowiązek nałożony na spółkę w wydanej decyzji został zrealizowany, Prezes UODO pismem z 19 maja 2022 r. wezwał administratora do przedłożenia świadczących o tym dowodów. Jednocześnie pouczył spółkę, że w przypadku stwierdzenia niezrealizowania nakazu zawartego w decyzji może został nałożona administracyjna kara pieniężna.
Pismo zostało odebrane przez spółkę 24 maja 2022 r. i pozostało bez odpowiedzi. W związku z tym Prezes UODO 30 czerwca 2022 r. skierował ponowne pismo, które po raz kolejny nie spotkało się z żadną reakcją ze strony spółki.
Prezes UODO stwierdził naruszenie nie tylko przepisów dotyczących braku współpracy z organem nadzorczym, ale – wobec braku dowodów – również niezrealizowanie obowiązku wynikającego z wcześniej wydanej decyzji.
4) Wspólnota Mieszkaniowa w S.
Wysokość kary: 1 556,28 PLN
Decyzja Prezesa UODO z dnia 7 lutego 2023 r.
W październiku 2020 r. do organu nadzorczego wpłynęło anonimowe zgłoszenie. Wskazywało ono na możliwość naruszenia ochrony danych osobowych lokatorów przez Wspólnotę Mieszkaniową w S. Według zgłaszającego do ujawnienie danych mogła spowodować osoba sprawująca zarząd nad Wspólnotą (o inicjałach M.G.).
W odpowiedzi na otrzymane zgłoszenie Prezes UODO zwrócił się do Zarządcy Wspólnoty z pytaniem „czy w związku z przedmiotowym incydentem bezpieczeństwa została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny oraz czy doszło do naruszenia ochrony danych, skutkującego koniecznością odpowiedniej jego notyfikacji zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą”. W odpowiedzi M.G. poinformował, że w lutym 2020 r. doszło do kradzieży dokumentacji Wspólnoty. Zawierała ona „imiona i nazwiska poszczególnych właścicieli, adresy zamieszkań, nr kont, z których właściciele uiszczali opłaty czynszowe, dane firm wykonujących usługi na tym budynku”. Poinformował również, że sytuacja została zgłoszona na Policję, a kradzieżą dokumentów zajmuje się właściwa miejscowo Prokuratura.
W konsekwencji ustalono, że do naruszenia ochrony danych osobowych doszło w wyniku kradzieży kopii aktu notarialnego, znajdującego się u zarządcy wspólnoty. Z otrzymanej od administratora korespondencji wynikało, że Wspólnota powierzyła Zarządcy przetwarzanie danych osobowych bez zawarcia na piśmie umowy powierzenia ich przetwarzania. Nie przeprowadziła również weryfikacji, czy Zarządca zapewnia środki techniczne i organizacyjne stanowiące gwarancję odpowiedniego przetwarzania danych osobowych. Listę uchybień uzupełniły braki zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomień osób, których dane znajdowały się w utraconym akcie notarialnym.
5) K.P. i M.H.
Wysokość kary: 33 012 PLN (K.P.) i 472 PLN (M.H.)
Decyzja Prezesa UODO z dnia 8 lutego 2023 r.
W grudniu 2020 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez K.P. Zgłaszający prowadził działalność gospodarczą świadcząc usługi dla brokerów ubezpieczeniowych. Zgłoszenie wskazywało na utratę poufności danych będące skutkiem działania wirusa komputerowego. W zgłoszeniu wskazano również dane podmiotu przetwarzającego, czyli M.H. świadczącego kompleksową obsługę informatyczną.
Niezależnie od powyższego również w grudniu 2020 r. do organu nadzorczego wpłynęła informacja o naruszeniu ochrony danych osobowych przez K.P. Miało ono polegać na upublicznieniu polis ubezpieczeniowych zawieranych w okresie od maja 2015 r. do listopada 2020 r. znajdujących się w zasobach informatycznych należących do K.P. Wśród ujawnionych plików miały znajdować się również dokumenty zawierające dane szczególnej kategorii, takie jak wyniki badań onkologicznych.
W wyniku wszczętego postępowania organ nadzorczy stwierdził brak odpowiednich środków technicznych i organizacyjnych, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. Wydaną decyzją Prezes UODO nałożył na administratora karę w wysokości 33 012 zł oraz (rekordowo niską) karę w wysokości 472 zł na drugiego z przedsiębiorców (M.H.). Więcej informacji o tej sprawie można znaleźć w Komunikacie IOD-y.
6) Spółdzielnia Mieszkaniowa w O.
Wysokość kary: 51 876 PLN
Decyzja Prezesa UODO z dnia 1 marca 2023 r.
Sprawa została zapoczątkowana wpłynięciem do Prezesa UODO zgłoszenia od osoby, której błędnie udostępniono dane członka Spółdzielni. Osobą tą była dziennikarka, która uznała, że naruszeniem ochrony danych osobowych jest udostępnienie dziennikarzom kopii zawiadomienia o możliwości popełnienia przestępstwa.
Prezes UODO w związku z otrzymanym zgłoszeniem zwrócił się do Spółdzielni o złożenie wyjaśnień w tej sprawie. W odpowiedzi Spółdzielnia wyjaśniła, że „(…) jedna z osób będących mieszkańcem w zasobach Spółdzielni Mieszkaniowej (…), niezadowolona z wysokości opłat eksploatacyjnych (opłaty za wodę niezależne od Spółdzielni Mieszkaniowej) wszczęła kampanię negatywną wobec Spółdzielni Mieszkaniowej w lokalnych mediach i Internecie, sama upubliczniając swoje dane osobowe”. W celu wyjaśnienia zaistniałej sytuacji Spółdzielnia złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa przez członka Spółdzielni. Właśnie kopię tego zawiadomienia Zarząd Spółdzielni przekazał dziennikarzom na konferencji prasowej.
Według wyjaśnień Spółdzielni udostępniony dokument zawierał dane osobowe takie jak imię i nazwisko, numer PESEL oraz adres zamieszkania członka Spółdzielni. Co ciekawe, sytuację tę odnotowano w rejestrze naruszeń Spółdzielni, uznając zapewne, że doszło do naruszenia ochrony danych osobowych. Inspektor Ochrony Danych Spółdzielni ocenił jednocześnie, że ryzyko naruszenia praw i wolności osoby fizycznej, która sama upubliczniła swoje dane osobowe, jest niskie. W związku z tym naruszenie nie zostało zgłoszone do organu nadzorczego.
W związku z powyższymi wyjaśnieniami organ nadzorczy zwrócił się do Spółdzielni Mieszkaniowej z prośbą o informację, czy faktycznie osoba podejrzana upubliczniła kopię zawiadomienia o podejrzeniu popełnienia przestępstwa (oryginał otrzymały organy ścigania) i w jakich okolicznościach. W odpowiedzi Spółdzielnia wyjaśniła, że nie posiada informacji o przekazaniu do tej osoby kopii zawiadomienia, ani wiedzy o tym, że osoba ta dokument pozyskała z innych źródeł. W związku z tym organ nadzorczy nie wziął pod uwagę zapewnień administratora o samodzielnym upublicznieniu przez tę osobę jej danych osobowych.
Biorąc pod uwagę wyjaśnienia administratora Prezes UODO ocenił, że ryzyko naruszenia praw i wolności osoby, której dane dotyczą było wysokie. W związku z tym Spółdzielnia powinna zawiadomić o zdarzeniu nie tylko organ nadzorczy, ale także osobę, której dane znajdowały się w ujawnionym zawiadomieniu.
7) Prokuratura Rejonowa w G.
Wysokość kary: 20 000 PLN
Decyzja Prezesa UODO z dnia 14 marca 2023 r.
Sprawa została zapoczątkowana wpłynięciem w marcu 2021 r. do Prezes UODO informacji wskazującej na możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej w G. Miało ono polegać na przekazaniu lokalnemu dziennikarzowi niezanonimizowanej dokumentacji z zakończonego postępowania przygotowawczego. W dokumentacji znajdowały się takie dane jak: imię i nazwisko, seria i numeru dowodu osobistego, numer PESEL, adres zamieszkania, numer telefonu, informacja o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia.
Osobą dotkniętą naruszeniem był Wójt Gminy. Wśród ujawnionych informacji znajdowały się także dane jego żony oraz małoletniego dziecka. Zakres udostępnionych danych dotyczył także zarzucanych wójtowi czynów. Mowa tu o podejrzeniu popełnienia przestępstwa polegającego na złożeniu w Gminnym Ośrodku Pomocy Społecznej nieprawdziwego oświadczenia o zarobkach wójta oraz jego żony.
Organ nadzorczy zwrócił się do administratora z żądaniem przedstawienia wyjaśnień dotyczących niezgłoszenia zdarzenia. ADO w odpowiedzi poinformował, że po analizie incydentu uznano, że nie zachodzi potrzeba zgłoszenia naruszenia oraz zawiadomienia osoby, której dane dotyczą. Ze stanowiskiem tym nie zgodził się organ nadzorczy i wydał decyzję nakładającą administracyjną karę pieniężną.
8) Rzecznik Dyscyplinarny Izby Adwokackiej w X
Wysokość kary: 23 580 PLN
Decyzja Prezesa UODO z dnia 20 kwietnia 2023 r.
W czerwcu 2021 r. jeden z Rzeczników Dyscyplinarnych Izby Adwokackiej dokonał zgłoszenia do organu nadzorczego wskazującego na naruszenie ochrony danych osobowych. Polegało ono na odebraniu uszkodzonej i niekompletnej przesyłki przez obrońcę obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem. Biorąc pod uwagę treść pisma przewodniego w przesyłce brakowało załącznika w postaci przenośnego nośnika danych (pendrive). Miał on zawierać nagranie rozprawy rozwodowej, na której podane zostały dane 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
W toku wszczętego postepowania organ nadzorczy ustalił, że mimo obowiązywania wewnętrznych regulacji odnoszących się do szyfrowania nośników nie było to praktykowane. Zarówno pendrive, jak i znajdujące się na nim pliki nie były zabezpieczone hasłem.
W związku z powyższym Prezes UODO stwierdził naruszenie przepisów RODO polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.
9) Burmistrz Miasta i Gminy W.
Wysokość kary: 10 000 PLN
Decyzja Prezesa UODO z dnia 9 maja 2023 r.
Burmistrz Miasta i Gminy W. w maju 2022 r. dokonał zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO. Miało ono polegać na nieuprawnionym wykonaniu kopii danych osobowych z komputera służbowego na nieautoryzowany przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W.
W przeprowadzonym przez Prezesa UODO postępowaniu ustalono, że administrator nie stosował rozwiązań uniemożliwiających przenoszenie danych na nieautoryzowany nośnik. Ponadto nie została przeprowadzona analiza ryzyka, dzięki której możliwy by był dobór adekwatnych środków technicznych i organizacyjnych.
W związku z powyższym Prezes UODO stwierdził niezastosowanie przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i ukarał go administracyjną karą pieniężną.
10) Burmistrz Miasta Z.
Wysokość kary: 30 000 PLN
Decyzja Prezesa UODO z dnia 16 maja 2023 r.
Sprawa została zapoczątkowana zgłoszeniem przez Burmistrza Miasta Z. naruszenia ochrony danych osobowych, które spowodowane było atakiem typu „ransomware”. Incydent dotyczył około 9400 osób. W wyniku ataku zaszyfrowane zostały następujące dane osobowe: „nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek”.
Po weryfikacji sprawy organ nadzorczy uznał, że faktyczną przyczyną wystąpienia ataku była nieaktualna baza wirusów w „programie M”. Co więcej, administrator przeprowadził w sposób nierzetelny analizę ryzyka, szczególnie w zakresie wykonywania kopii zapasowych. Ponadto ADO nie wdrożył wszystkich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania danych, które przewidywał plan postępowania z ryzykiem. W wyniku tego doszło do przełamania zabezpieczeń systemu informatycznego, a następnie do zaszyfrowania danych przy pomocy złośliwego oprogramowania.
W związku z powyższym Prezes UODO stwierdził dobór nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Ponadto organ nadzorczy wskazał na brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.
11) G. Sp. z o.o. z siedzibą w K.
Wysokość kary: 14 148 PLN
Decyzja Prezesa UODO z dnia 31 maja 2023 r.
Sprawa została zapoczątkowana 17 września 2021 r., kiedy to pani J.P. złożyła skargę do Prezesa UODO. Wskazywała w niej na nielegalne udostępnienie jej danych osobowych w postaci imienia i nazwiska członkom Wspólnoty Mieszkaniowej w K. przez G. Sp. z o.o.
W ramach postępowania wyjaśniającego Prezes UODO zwrócił się do spółki z wezwaniem do złożenia odpowiedzi na wskazane pytania. Pismo zostało bez odpowiedzi, w związku z czym organ ponowił wezwanie. Spółka tym razem udzieliła odpowiedzi, jednak nie na wszystkie pytania. W związku z tym Prezes UODO zwrócił się do spółki z żądaniem udzielenia kompleksowej odpowiedzi. Pismo to nie wywołało reakcji.
Biorąc pod uwagę całokształt wyżej przedstawionych okoliczności Prezes UODO nałożył na spółkę administracyjną karę pieniężną będącą skutkiem braku właściwej współpracy z organem nadzorczym.
12) P. Sp. z o.o. z siedzibą w W.
Wysokość kary: 47 160 PLN
Decyzja Prezesa UODO z dnia 31 maja 2023 r.
Sprawa została zapoczątkowana w lipcu 2020 r. wpłynięciem do Prezesa UODO zawiadomienia od podmiotu trzeciego. Wskazywała ona na utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. Zawierała ona dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych zawartych przez spółkę.
W toku przeprowadzonego postępowania organ nadzorczy ustalił, że doszło do ataku typu ransomware, w wyniku którego zaszyfrowane zostały dane osobowe znajdujące się na trzech serwerach administratora. Spółka nie umiała rozszyfrować danych więc przyjęła, że najkorzystniej będzie wstrzymać się od ingerowania w system. W posiadaniu ADO były papierowe kopie dokumentów, w związku z czym nie zgłoszono naruszenia ochrony danych osobowych do Prezesa UODO.
W ocenie Prezesa UODO spółka powinna zgłosić naruszenie. Ponadto organ nadzorczy stwierdził, że administrator nie przeprowadził analizy ryzyka. W związku z tym nie zostały wdrożone odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych.
13) T. Sp. z o.o z siedzibą w K.
Wysokość kary: 18 864 PLN
Decyzja Prezesa UODO z dnia 2 czerwca 2023 r.
Pan J.M. poinformował Prezesa UODO o nieprawidłowościach w procesie przetwarzania jego danych osobowych przez T. Sp. z o. o. z siedzibą w K. Administrator udostępnił podmiotom nieuprawnionym dane osobowe skarżącego, najprawdopodobniej bez właściwej podstawy prawnej.
W związku z otrzymaniem skargi organ nadzorczy zwrócił się do spółki o złożenie wyjaśnień. Pismo pozostało bez odpowiedzi ze strony administratora. W związku z tym Prezes UODO ponownie skierował do spółki wezwanie, które również nie wywołało reakcji. Oba pisma zawierały pouczenie, zgodnie z którym brak odpowiedzi skutkować może nałożeniem administracyjnej kary pieniężnej. W związku z tym organ nadzorczy nałożył na spółkę sankcję pieniężną za brak współpracy z Prezes UODO.
14) H. Sp. z o.o. z siedzibą w W.
Wysokość kary: 33 012 PLN
Decyzja Prezesa UODO z dnia 21 czerwca 2023 r.
Sprawa została zapoczątkowana wpłynięciem do organu nadzorczego skargi Pana R.B. Wskazywał on na nieprawidłowości w procesie przetwarzania jego danych osobowych przez H. Sp. z o. o. z siedzibą w W. Miały one polegać one na udostępnieniu bez podstawy prawnej danych osobowych skarżącego na rzecz podmiotu trzeciego.
W celu zweryfikowania przedstawionych w skardze twierdzeń Prezes UODO zwrócił się do spółki z żądaniem złożenia wyjaśnień. Pismo było dwukrotnie awizowane, a następnie wróciło do nadawcy. Z związku z tym organ ponownie skierował pismo, które również dwukrotnie awizowano, a następnie zwrócono do nadawcy. Na marginesie warto wspomnieć o fikcji doręczeń, którą reguluje art. 44 k.p.a. Zgodnie z przywołanym przepisem pismo, którego adresat mimo prawidłowego zawiadomienia nie odebrał w ciągu 14 dni, uważa się za „skutecznie” doręczone wraz z upływem ostatniego dnia tego okresu.
W związku z tym organ nadzorczy stwierdził naruszenie art. 58 ust. 1 lit. a i e RODO polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.
15) K.W. prowadzącą działalność gospodarczą w O.
Wysokość kary: 11 790 PLN
Decyzja Prezesa UODO z dnia 12 lipca 2023 r.
W maju 2022 r. Pani K.W. prowadząca działalność gospodarczą w O. poinformowała pocztą elektroniczną Prezesa UODO o kradzieży z pulpitu jej laptopa dokumentów zawierających dane osobowe. Jednocześnie nadawczyni pytała o dalsze postępowanie z związku z incydentem.
W związku z powyższym Prezes UODO poinformował K.P. o obowiązkach wynikających z art. 33 ust. 1 i 3 RODO oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Pomimo to K.P. nie podjęła stosownych działań, a pismo organu pozostało bez odpowiedzi. W związku z tym Prezes UODO ponownie skierował pismo z prośbą o złożenie wyjaśnień, które nie wywołało reakcji ze strony K.P.
W związku z tym organ nadzorczy wszczął postępowanie administracyjne w sprawie niezgłoszenia naruszenia. Skierował w tej sprawie do administratora dwa pisma, które zostały awizowane, a następnie zwrócone do nadawcy. Prezes UODO biorąc pod uwagę materiał dowodowy pochodzący z pierwotnej korespondencji mailowej stwierdził naruszenie art. 33 ust. 1 oraz art. 34 ust. 1-2 RODO.
16) K. prowadzący działalność gospodarczą pod firmą X
Wysokość kary: 15 000 PLN
Decyzja Prezesa UODO z dnia 18 lipca 2023 r.
W maju 2022 r. K. zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Polegało ono na włamaniu do samochodu służbowego osoby zajmującej kierownicze stanowisko i kradzieży jej służbowego komputera przenośnego wykorzystywanego do przetwarzania danych trzech osób. W wyniku zdarzenia doszło do utraty, a prawdopodobnie również do ujawnienia tych danych osobowych.
W wyniku przeprowadzonego postępowania organ nadzorczy stwierdził niezastosowanie przez K. odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych. Ponadto administrator nie dokonywał regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych.
17) A. S.A. z siedzibą w W.
Wysokość kary: 56 592 PLN
Decyzja Prezesa UODO z dnia 30 sierpnia 2023 r.
Pan A.M. złożył do Prezesa UODO skargę wskazującą na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A. z siedzibą w W. Polegały one na niezrealizowaniu wniosku o odstęp do danych skarżącego.
W związku z tym Prezes UODO skierował do spółki wezwanie do złożenia wyjaśnień. Spółka przedstawiła swoje stanowisko, które jednak nie zawierało kompleksowej odpowiedzi na pytania zadane przez organ nadzorczy. W związku z tym Prezes UODO ponownie skierował do administratora pismo z żądaniem doprecyzowania wcześniej podanych informacji, jednak pozostało ono bez odpowiedzi.
Wobec powyższego organ wystosował jeszcze jedno pismo. Spółka tym razem udzieliła odpowiedzi, jednak korespondencja zawierała braki. W związku z tym Prezes UODO wezwał spółkę do uzupełnienia braków formalnych, jednak odpowiedź nie została udzielona. Organ nadzorczy ponowił pismo, jednak ono również nie wywołało reakcji ze strony spółki. Biorąc pod uwagę niewłaściwą współpracę administratora z organem nadzorczym, nałożono na niego administracyjną karę pieniężną.
18) Link4 Towarzystwo Ubezpieczeń S.A.
Wysokość kary: 103 752 PLN
Decyzja Prezesa UODO z dnia 18 października 2023 r.
W kwietniu 2022 r. do organu nadzorczego wpłynęła mailowo informacja od osoby niezwiązanej z ubezpieczycielem wskazująca na udostępnienie jej (jako osobie nieuprawnionej) potwierdzenia przyznania odszkodowania. Zawierało ono dane osobowe w postaci: imienia, nazwiska i adresu do korespondencji osoby wskazanej w tym zawiadomieniu. W dokumencie stanowiącym załącznik do e-maila znajdowały się również dane dotyczące marki i modelu samochodu, jego numeru rejestracyjnego oraz numer polisy, numer szkody oraz jej wartość, a także kwota uznanego roszczenia. Ponadto osoba zgłaszająca przekazała tę informację również administratorowi (czyli Link4), jednak nie otrzymała odpowiedzi.
W związku z otrzymaniem zgłoszenia organ nadzorczy zwrócił się do Link4 z żądaniem złożenia wyjaśnień. W odpowiedzi administrator przyznał, że wiedział o zdarzeniu. W jego ocenie do incydentu doszło „w wyniku błędu ludzkiego”. ADO dokonał analizy ryzyka incydentu w oparciu o rekomendowaną na stronie internetowej UODO „metodologię ENISA” i dostępny w Internecie darmowy kalkulator oceny wagi naruszenia. Przeprowadzona na tej podstawie analiza wykazała niskie ryzyko naruszenie praw i wolności osoby, której dane dotyczą. W związku z tym Link4 odnotowało incydent w wewnętrznym rejestrze incydentów, nie informując o zdarzeniu Prezesa UODO.
W ocenie Prezesa UODO incydent wymagał zgłoszenia do organu nadzorczego, w związku z tym na administratora nałożona została administracyjna kara pieniężna.
19) W. spółka jawna z siedzibą w W.
Wysokość kary: 14 148 PLN
Decyzja Prezesa UODO z dnia 16 listopada 2023 r.
Pani M.S. złożyła do Prezesa UODO skargę wskazującą na nieprawidłowości w procesie przetwarzania jej danych osobowych przez W. Sp. j. z siedzibą w W. Polegały one na przetwarzaniu jej danych osobowych w celach marketingowych bez podstawy prawnej oraz nieuwzględnieniu jej wniosku o usunięciu tych danych osobowych.
W związku z otrzymaniem zgłoszenia organ nadzorczy zwrócił się do spółki z żądaniem złożenia wyjaśnień. Pismo było dwukrotnie awizowane, a następnie zostało zwrócone do nadawcy z uwagi na niepodjęcie go przez adresata. Prezesa UODO ponowie skierował do spółki pismo, jednak i to – po dwukrotnym awizowaniu – zwrócono do organu.
W związku z tym na administratora nałożona została sankcja pieniężna będąca rezultatem braku współpracy z Prezesem UODO.
20) Minister Zdrowia
Wysokość kary: 100 000 PLN
Decyzja Prezesa UODO z dnia 20 grudnia 2023 r.
9 sierpnia 2023 r. do Prezesa UODO wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Zdrowia. Wynikało z niego, że „Dyrektor Pionu […] w Ministerstwie Zdrowia, na ustne polecenie Ministra Zdrowia, wyznaczył pracownika, który odszyfrował w systemie […] receptę, na której znajdowały się dane osobowe lekarza, a następnie przekazał informacje, które się na niej znajdowały, Ministrowi Zdrowia”.
4 sierpnia 2023 r. w serwisie społecznościowym X (dawniej Twitter) Minister Zdrowia opublikował wpis, w którym znalazły się informacje z przedmiotowej recepty. Były to dane lekarza, który wystawił sobie receptę na lek z grupy psychotropowych. We wpisie znalazły się informacje w postaci imienia i nazwiska, miejsca pracy oraz informacji o kategorii leku, na który została wystawiona recepta.
Prezes UODO stwierdził naruszenie przez Ministra Zdrowia kilku przepisów RODO. Po pierwsze, art. 6 ust. 1 w zw. z art. 9 ust. 1 RODO poprzez niezgodne z prawem przetwarzanie danych osobowych, w tym danych szczególnej kategorii. Ponadto doszło do naruszenia szeregu zasad dotyczących przetwarzania danych osobowych, określonych w art. 5 RODO – tj. „zgodność z prawem, rzetelność i przejrzystość”, „integralność i poufność” oraz zasady rozliczalności.
Organ nadzorczy stwierdził również niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy pomocy systemu Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych. Ponadto administrator naruszył także art. 33 ust. 3 RODO poprzez niepowiadomienie o naruszeniu osoby, której dane dotyczą.
Podsumowanie
Rok 2023 był rekordowy pod kątem liczby wydanych przez Prezesa UODO decyzji nakładających administracyjne kary pieniężne, których było 20. Z zestawienia wynika, że organ nakłada coraz więcej kar, które opiewają na mniejsze kwoty. Były one nakładane zarówno na podmioty publiczne, jak i prywatne. Wśród ukaranych podmiotów znalazły się małe i duże przedsiębiorstwa oraz osoby fizyczne.
Biorąc pod uwagę przedmiot decyzji najczęstszymi powodami nałożenia administracyjnej kary pieniężnej są: brak należytej współpracy z organem nadzorczym, niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających właściwy stopień bezpieczeństwa oraz niezgłoszenie naruszenia ochrony danych osobowych.
W 2024 w dalszym ciągu będziemy przyglądać się decyzjom nakładanym przez organ nadzorczy i analizować je na bieżąco. Ich podsumowanie zostanie przez nas opublikowane za rok w kolejnym artykule z tej serii.