W ubiegłym roku polski organ nadzorczy wydał rekordową liczbę 30 decyzji nakładających kary pieniężne na 31 podmiotów, których łączna suma wyniosła 1 230 331,28 zł. Dla porównania:
- W 2022 roku Prezes UODO wydał 13 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła 6 150 933 zł.;
- W 2021 roku Prezes UODO wydał 14 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 2,2 mln zł.;
- W 2020 roku Prezes UODO wydał 10 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła prawie 3,5 mln zł.;
- W 2019 roku Prezes UODO wydał 8 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 4 mln zł.;
Do tej pory łączna suma kar nałożonych przez Prezesa UODO wynosi ponad 17 mln zł, a było ich 75.
Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2023 r. wynosiła 282 960 zł i została nałożona z powodu niezgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego i niepoinformowania o nim osoby, której danych ono dotyczyło. Natomiast najniższa – to kara o wysokości 472 zł (najniższa jak dotąd w ogóle) nałożona z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przez podmiot przetwarzający, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych u administratora.
Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2023 roku
Z 30 decyzji UODO o ukaraniu administratorów danych osobowych:
- 9 dotyczyło podmiotów publicznych;
- 19 dotyczyło sektora prywatnego;
- 15 wydanych zostało wskutek wpłynięcia skarg;
- 11 wydanych zostało w związku ze zgłoszeniem naruszenia;
- 2 wydane zostały na skutek niewykonania obowiązku wynikającego z wcześniejszej decyzji Prezesa UODO;
- aż 8 nałożonych kar było rezultatem braku współpracy z organem nadzorczym.
Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.
1) Sąd Rejonowy Szczecin-Centrum w Szczecinie
Wysokość kary: 30 000 PLN
Decyzja Prezesa UODO z dnia 19 stycznia 2023 r.
Pierwszym podmiotem, który w 2023 r. został ukarany przez organ nadzorczy był Sąd Rejonowy Szczecin-Centrum w Szczecinie. Powodem nałożenia administracyjnej kary pieniężnej było niewdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych nośników pamięci.
Sprawa została zapoczątkowana 20 września 2020 r. zgłoszeniem do UODO naruszenia przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Polegało ono na zgubieniu trzech nośników danych typu pendrive – jednego służbowego (szyfrowanego) oraz dwóch prywatnych (nieszyfrowanych). Na nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
W wyniku prowadzonego postępowania organ nadzorczy ustalił, że personel sądu wielokrotnie korzystał z prywatnych nośników danych. Były one niezabezpieczone i niezweryfikowane przez dział IT Sądu.
Ponadto okazało się, że mimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych administrator nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
Prezes UODO stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, w celu uniemożliwienia korzystania z prywatnych nośników danych (np. blokady portów USB). Administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były one zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich utraty.
2) S. Sp. z o. o. z siedzibą w R.
Wysokość kary: 18 279 PLN
Decyzja Prezesa UOD z dnia 25 stycznia 2023 r.
Wydanie decyzji zapoczątkowane zostało wpłynięciem do Prezesa UODO 8 lipca 2022 r. skargi Pana M. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez S. Sp. z o.o. z siedzibą w R. Polegały one na udostępnieniu osobom nieuprawnionym danych osobowych skarżącego znajdujących się we wzorze umowy o pracę (w zakresie imienia, nazwiska, adresu, wysokości wynagrodzenia, stanowiska pracy, numeru konta bankowego).
W celu weryfikacji skargi organ nadzorczy zwrócił się do administratora o ustosunkowanie się do twierdzeń w niej zawartych i złożenie wyjaśnień w sprawie. Pismo z wezwaniem zostało odebrane przez adresata 16 sierpnia 2022 r., jednak pozostało bez odpowiedzi. W związku z tym Prezes UODO ponownie zwrócił się do Spółki 3 października 2022 r. W piśmie zawarte było pouczenie, zgodnie z którym brak odpowiedzi na wezwanie skutkować może nałożeniem na Spółkę administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR. Mimo tego administrator ponownie nie ustosunkował się w żaden sposób do odebranego pisma.
W związku z powyższym Prezes UODO stwierdził naruszenie przepisów art. 31 i art. 58 ust. 1 lit. a oraz e RODO, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań.
3) E. Sp. z o.o. z siedzibą w W.
Wysokość kary: 22 848 PLN
Decyzja Prezesa UODO z dnia 25 stycznia 2023 r.
Prezes UODO decyzją z dnia 6 maja 2021 roku nakazał E. Sp. z o.o. z siedzibą we W. usunięcie danych osobowych Pana M. M. w zakresie imienia, nazwiska, numeru PESEL oraz adresu zamieszkania. Decyzja została przez spółkę odebrana 13 maja 2021 r. Od decyzji nie została wniesiona skarga do WSA, z związku z czym 15 czerwca 2021 r. stała się ona prawomocna.
W celu sprawdzenia, czy obowiązek nałożony na spółkę w wydanej decyzji został zrealizowany, Prezes UODO pismem z 19 maja 2022 r. wezwał administratora do przedłożenia świadczących o tym dowodów. Jednocześnie pouczył spółkę, że w przypadku stwierdzenia niezrealizowania nakazu zawartego w decyzji może został nałożona administracyjna kara pieniężna.
Pismo zostało odebrane przez spółkę 24 maja 2022 r. i pozostało bez odpowiedzi. W związku z tym Prezes UODO 30 czerwca 2022 r. skierował ponowne pismo, które po raz kolejny nie spotkało się z żadną reakcją ze strony spółki.
Prezes UODO stwierdził naruszenie nie tylko przepisów dotyczących braku współpracy z organem nadzorczym, ale – wobec braku dowodów – również niezrealizowanie obowiązku wynikającego z wcześniej wydanej decyzji.
4) Wspólnota Mieszkaniowa w S.
Wysokość kary: 1 556,28 PLN
Decyzja Prezesa UODO z dnia 7 lutego 2023 r.
W październiku 2020 r. do organu nadzorczego wpłynęło anonimowe zgłoszenie. Wskazywało ono na możliwość naruszenia ochrony danych osobowych lokatorów przez Wspólnotę Mieszkaniową w S. Według zgłaszającego do ujawnienie danych mogła spowodować osoba sprawująca zarząd nad Wspólnotą (o inicjałach M.G.).
W odpowiedzi na otrzymane zgłoszenie Prezes UODO zwrócił się do Zarządcy Wspólnoty z pytaniem „czy w związku z przedmiotowym incydentem bezpieczeństwa została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny oraz czy doszło do naruszenia ochrony danych, skutkującego koniecznością odpowiedniej jego notyfikacji zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą”. W odpowiedzi M.G. poinformował, że w lutym 2020 r. doszło do kradzieży dokumentacji Wspólnoty. Zawierała ona „imiona i nazwiska poszczególnych właścicieli, adresy zamieszkań, nr kont, z których właściciele uiszczali opłaty czynszowe, dane firm wykonujących usługi na tym budynku”. Poinformował również, że sytuacja została zgłoszona na Policję, a kradzieżą dokumentów zajmuje się właściwa miejscowo Prokuratura.
W konsekwencji ustalono, że do naruszenia ochrony danych osobowych doszło w wyniku kradzieży kopii aktu notarialnego, znajdującego się u zarządcy wspólnoty. Z otrzymanej od administratora korespondencji wynikało, że Wspólnota powierzyła Zarządcy przetwarzanie danych osobowych bez zawarcia na piśmie umowy powierzenia ich przetwarzania. Nie przeprowadziła również weryfikacji, czy Zarządca zapewnia środki techniczne i organizacyjne stanowiące gwarancję odpowiedniego przetwarzania danych osobowych. Listę uchybień uzupełniły braki zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomień osób, których dane znajdowały się w utraconym akcie notarialnym.
5) K.P. i M.H.
Wysokość kary: 33 012 PLN (K.P.) i 472 PLN (M.H.)
Decyzja Prezesa UODO z dnia 8 lutego 2023 r.
W grudniu 2020 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez K.P. Zgłaszający prowadził działalność gospodarczą świadcząc usługi dla brokerów ubezpieczeniowych. Zgłoszenie wskazywało na utratę poufności danych będące skutkiem działania wirusa komputerowego. W zgłoszeniu wskazano również dane podmiotu przetwarzającego, czyli M.H. świadczącego kompleksową obsługę informatyczną.
Niezależnie od powyższego również w grudniu 2020 r. do organu nadzorczego wpłynęła informacja o naruszeniu ochrony danych osobowych przez K.P. Miało ono polegać na upublicznieniu polis ubezpieczeniowych zawieranych w okresie od maja 2015 r. do listopada 2020 r. znajdujących się w zasobach informatycznych należących do K.P. Wśród ujawnionych plików miały znajdować się również dokumenty zawierające dane szczególnej kategorii, takie jak wyniki badań onkologicznych.
W wyniku wszczętego postępowania organ nadzorczy stwierdził brak odpowiednich środków technicznych i organizacyjnych, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. Wydaną decyzją Prezes UODO nałożył na administratora karę w wysokości 33 012 zł oraz (rekordowo niską) karę w wysokości 472 zł na drugiego z przedsiębiorców (M.H.). Więcej informacji o tej sprawie można znaleźć w Komunikacie IOD-y.
6) Spółdzielnia Mieszkaniowa w O.
Wysokość kary: 51 876 PLN
Decyzja Prezesa UODO z dnia 1 marca 2023 r.
Sprawa została zapoczątkowana wpłynięciem do Prezesa UODO zgłoszenia od osoby, której błędnie udostępniono dane członka Spółdzielni. Osobą tą była dziennikarka, która uznała, że naruszeniem ochrony danych osobowych jest udostępnienie dziennikarzom kopii zawiadomienia o możliwości popełnienia przestępstwa.
Prezes UODO w związku z otrzymanym zgłoszeniem zwrócił się do Spółdzielni o złożenie wyjaśnień w tej sprawie. W odpowiedzi Spółdzielnia wyjaśniła, że „(…) jedna z osób będących mieszkańcem w zasobach Spółdzielni Mieszkaniowej (…), niezadowolona z wysokości opłat eksploatacyjnych (opłaty za wodę niezależne od Spółdzielni Mieszkaniowej) wszczęła kampanię negatywną wobec Spółdzielni Mieszkaniowej w lokalnych mediach i Internecie, sama upubliczniając swoje dane osobowe”. W celu wyjaśnienia zaistniałej sytuacji Spółdzielnia złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa przez członka Spółdzielni. Właśnie kopię tego zawiadomienia Zarząd Spółdzielni przekazał dziennikarzom na konferencji prasowej.
Według wyjaśnień Spółdzielni udostępniony dokument zawierał dane osobowe takie jak imię i nazwisko, numer PESEL oraz adres zamieszkania członka Spółdzielni. Co ciekawe, sytuację tę odnotowano w rejestrze naruszeń Spółdzielni, uznając zapewne, że doszło do naruszenia ochrony danych osobowych. Inspektor Ochrony Danych Spółdzielni ocenił jednocześnie, że ryzyko naruszenia praw i wolności osoby fizycznej, która sama upubliczniła swoje dane osobowe, jest niskie. W związku z tym naruszenie nie zostało zgłoszone do organu nadzorczego.
W związku z powyższymi wyjaśnieniami organ nadzorczy zwrócił się do Spółdzielni Mieszkaniowej z prośbą o informację, czy faktycznie osoba podejrzana upubliczniła kopię zawiadomienia o podejrzeniu popełnienia przestępstwa (oryginał otrzymały organy ścigania) i w jakich okolicznościach. W odpowiedzi Spółdzielnia wyjaśniła, że nie posiada informacji o przekazaniu do tej osoby kopii zawiadomienia, ani wiedzy o tym, że osoba ta dokument pozyskała z innych źródeł. W związku z tym organ nadzorczy nie wziął pod uwagę zapewnień administratora o samodzielnym upublicznieniu przez tę osobę jej danych osobowych.
Biorąc pod uwagę wyjaśnienia administratora Prezes UODO ocenił, że ryzyko naruszenia praw i wolności osoby, której dane dotyczą było wysokie. W związku z tym Spółdzielnia powinna zawiadomić o zdarzeniu nie tylko organ nadzorczy, ale także osobę, której dane znajdowały się w ujawnionym zawiadomieniu.
7) Prokuratura Rejonowa w G.
Wysokość kary: 20 000 PLN
Decyzja Prezesa UODO z dnia 14 marca 2023 r.
Sprawa została zapoczątkowana wpłynięciem w marcu 2021 r. do Prezes UODO informacji wskazującej na możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej w G. Miało ono polegać na przekazaniu lokalnemu dziennikarzowi niezanonimizowanej dokumentacji z zakończonego postępowania przygotowawczego. W dokumentacji znajdowały się takie dane jak: imię i nazwisko, seria i numeru dowodu osobistego, numer PESEL, adres zamieszkania, numer telefonu, informacja o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia.
Osobą dotkniętą naruszeniem był Wójt Gminy. Wśród ujawnionych informacji znajdowały się także dane jego żony oraz małoletniego dziecka. Zakres udostępnionych danych dotyczył także zarzucanych wójtowi czynów. Mowa tu o podejrzeniu popełnienia przestępstwa polegającego na złożeniu w Gminnym Ośrodku Pomocy Społecznej nieprawdziwego oświadczenia o zarobkach wójta oraz jego żony.
Organ nadzorczy zwrócił się do administratora z żądaniem przedstawienia wyjaśnień dotyczących niezgłoszenia zdarzenia. ADO w odpowiedzi poinformował, że po analizie incydentu uznano, że nie zachodzi potrzeba zgłoszenia naruszenia oraz zawiadomienia osoby, której dane dotyczą. Ze stanowiskiem tym nie zgodził się organ nadzorczy i wydał decyzję nakładającą administracyjną karę pieniężną.
8) Rzecznik Dyscyplinarny Izby Adwokackiej w X
Wysokość kary: 23 580 PLN
Decyzja Prezesa UODO z dnia 20 kwietnia 2023 r.
W czerwcu 2021 r. jeden z Rzeczników Dyscyplinarnych Izby Adwokackiej dokonał zgłoszenia do organu nadzorczego wskazującego na naruszenie ochrony danych osobowych. Polegało ono na odebraniu uszkodzonej i niekompletnej przesyłki przez obrońcę obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem. Biorąc pod uwagę treść pisma przewodniego w przesyłce brakowało załącznika w postaci przenośnego nośnika danych (pendrive). Miał on zawierać nagranie rozprawy rozwodowej, na której podane zostały dane 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
W toku wszczętego postepowania organ nadzorczy ustalił, że mimo obowiązywania wewnętrznych regulacji odnoszących się do szyfrowania nośników nie było to praktykowane. Zarówno pendrive, jak i znajdujące się na nim pliki nie były zabezpieczone hasłem.
W związku z powyższym Prezes UODO stwierdził naruszenie przepisów RODO polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.
9) Burmistrz Miasta i Gminy W.
Wysokość kary: 10 000 PLN
Decyzja Prezesa UODO z dnia 9 maja 2023 r.
Burmistrz Miasta i Gminy W. w maju 2022 r. dokonał zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO. Miało ono polegać na nieuprawnionym wykonaniu kopii danych osobowych z komputera służbowego na nieautoryzowany przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W.
W przeprowadzonym przez Prezesa UODO postępowaniu ustalono, że administrator nie stosował rozwiązań uniemożliwiających przenoszenie danych na nieautoryzowany nośnik. Ponadto nie została przeprowadzona analiza ryzyka, dzięki której możliwy by był dobór adekwatnych środków technicznych i organizacyjnych.
W związku z powyższym Prezes UODO stwierdził niezastosowanie przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i ukarał go administracyjną karą pieniężną.
10) Burmistrz Miasta Z.
Wysokość kary: 30 000 PLN
Decyzja Prezesa UODO z dnia 16 maja 2023 r.
Sprawa została zapoczątkowana zgłoszeniem przez Burmistrza Miasta Z. naruszenia ochrony danych osobowych, które spowodowane było atakiem typu „ransomware”. Incydent dotyczył około 9400 osób. W wyniku ataku zaszyfrowane zostały następujące dane osobowe: „nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek”.
Po weryfikacji sprawy organ nadzorczy uznał, że faktyczną przyczyną wystąpienia ataku była nieaktualna baza wirusów w „programie M”. Co więcej, administrator przeprowadził w sposób nierzetelny analizę ryzyka, szczególnie w zakresie wykonywania kopii zapasowych. Ponadto ADO nie wdrożył wszystkich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania danych, które przewidywał plan postępowania z ryzykiem. W wyniku tego doszło do przełamania zabezpieczeń systemu informatycznego, a następnie do zaszyfrowania danych przy pomocy złośliwego oprogramowania.
W związku z powyższym Prezes UODO stwierdził dobór nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Ponadto organ nadzorczy wskazał na brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.
11) G. Sp. z o.o. z siedzibą w K.
Wysokość kary: 14 148 PLN
Decyzja Prezesa UODO z dnia 31 maja 2023 r.
Sprawa została zapoczątkowana 17 września 2021 r., kiedy to pani J.P. złożyła skargę do Prezesa UODO. Wskazywała w niej na nielegalne udostępnienie jej danych osobowych w postaci imienia i nazwiska członkom Wspólnoty Mieszkaniowej w K. przez G. Sp. z o.o.
W ramach postępowania wyjaśniającego Prezes UODO zwrócił się do spółki z wezwaniem do złożenia odpowiedzi na wskazane pytania. Pismo zostało bez odpowiedzi, w związku z czym organ ponowił wezwanie. Spółka tym razem udzieliła odpowiedzi, jednak nie na wszystkie pytania. W związku z tym Prezes UODO zwrócił się do spółki z żądaniem udzielenia kompleksowej odpowiedzi. Pismo to nie wywołało reakcji.
Biorąc pod uwagę całokształt wyżej przedstawionych okoliczności Prezes UODO nałożył na spółkę administracyjną karę pieniężną będącą skutkiem braku właściwej współpracy z organem nadzorczym.
12) P. Sp. z o.o. z siedzibą w W.
Wysokość kary: 47 160 PLN
Decyzja Prezesa UODO z dnia 31 maja 2023 r.
Sprawa została zapoczątkowana w lipcu 2020 r. wpłynięciem do Prezesa UODO zawiadomienia od podmiotu trzeciego. Wskazywała ona na utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. Zawierała ona dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych zawartych przez spółkę.
W toku przeprowadzonego postępowania organ nadzorczy ustalił, że doszło do ataku typu ransomware, w wyniku którego zaszyfrowane zostały dane osobowe znajdujące się na trzech serwerach administratora. Spółka nie umiała rozszyfrować danych więc przyjęła, że najkorzystniej będzie wstrzymać się od ingerowania w system. W posiadaniu ADO były papierowe kopie dokumentów, w związku z czym nie zgłoszono naruszenia ochrony danych osobowych do Prezesa UODO.
W ocenie Prezesa UODO spółka powinna zgłosić naruszenie. Ponadto organ nadzorczy stwierdził, że administrator nie przeprowadził analizy ryzyka. W związku z tym nie zostały wdrożone odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych.
13) T. Sp. z o.o z siedzibą w K.
Wysokość kary: 18 864 PLN
Decyzja Prezesa UODO z dnia 2 czerwca 2023 r.
Pan J.M. poinformował Prezesa UODO o nieprawidłowościach w procesie przetwarzania jego danych osobowych przez T. Sp. z o. o. z siedzibą w K. Administrator udostępnił podmiotom nieuprawnionym dane osobowe skarżącego, najprawdopodobniej bez właściwej podstawy prawnej.
W związku z otrzymaniem skargi organ nadzorczy zwrócił się do spółki o złożenie wyjaśnień. Pismo pozostało bez odpowiedzi ze strony administratora. W związku z tym Prezes UODO ponownie skierował do spółki wezwanie, które również nie wywołało reakcji. Oba pisma zawierały pouczenie, zgodnie z którym brak odpowiedzi skutkować może nałożeniem administracyjnej kary pieniężnej. W związku z tym organ nadzorczy nałożył na spółkę sankcję pieniężną za brak współpracy z Prezes UODO.
14) H. Sp. z o.o. z siedzibą w W.
Wysokość kary: 33 012 PLN
Decyzja Prezesa UODO z dnia 21 czerwca 2023 r.
Sprawa została zapoczątkowana wpłynięciem do organu nadzorczego skargi Pana R.B. Wskazywał on na nieprawidłowości w procesie przetwarzania jego danych osobowych przez H. Sp. z o. o. z siedzibą w W. Miały one polegać one na udostępnieniu bez podstawy prawnej danych osobowych skarżącego na rzecz podmiotu trzeciego.
W celu zweryfikowania przedstawionych w skardze twierdzeń Prezes UODO zwrócił się do spółki z żądaniem złożenia wyjaśnień. Pismo było dwukrotnie awizowane, a następnie wróciło do nadawcy. Z związku z tym organ ponownie skierował pismo, które również dwukrotnie awizowano, a następnie zwrócono do nadawcy. Na marginesie warto wspomnieć o fikcji doręczeń, którą reguluje art. 44 k.p.a. Zgodnie z przywołanym przepisem pismo, którego adresat mimo prawidłowego zawiadomienia nie odebrał w ciągu 14 dni, uważa się za „skutecznie” doręczone wraz z upływem ostatniego dnia tego okresu.
W związku z tym organ nadzorczy stwierdził naruszenie art. 58 ust. 1 lit. a i e RODO polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.
15) K.W. prowadzącą działalność gospodarczą w O.
Wysokość kary: 11 790 PLN
Decyzja Prezesa UODO z dnia 12 lipca 2023 r.
W maju 2022 r. Pani K.W. prowadząca działalność gospodarczą w O. poinformowała pocztą elektroniczną Prezesa UODO o kradzieży z pulpitu jej laptopa dokumentów zawierających dane osobowe. Jednocześnie nadawczyni pytała o dalsze postępowanie z związku z incydentem.
W związku z powyższym Prezes UODO poinformował K.P. o obowiązkach wynikających z art. 33 ust. 1 i 3 RODO oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Pomimo to K.P. nie podjęła stosownych działań, a pismo organu pozostało bez odpowiedzi. W związku z tym Prezes UODO ponownie skierował pismo z prośbą o złożenie wyjaśnień, które nie wywołało reakcji ze strony K.P.
W związku z tym organ nadzorczy wszczął postępowanie administracyjne w sprawie niezgłoszenia naruszenia. Skierował w tej sprawie do administratora dwa pisma, które zostały awizowane, a następnie zwrócone do nadawcy. Prezes UODO biorąc pod uwagę materiał dowodowy pochodzący z pierwotnej korespondencji mailowej stwierdził naruszenie art. 33 ust. 1 oraz art. 34 ust. 1-2 RODO.
16) K. prowadzący działalność gospodarczą pod firmą X
Wysokość kary: 15 000 PLN
Decyzja Prezesa UODO z dnia 18 lipca 2023 r.
W maju 2022 r. K. zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Polegało ono na włamaniu do samochodu służbowego osoby zajmującej kierownicze stanowisko i kradzieży jej służbowego komputera przenośnego wykorzystywanego do przetwarzania danych trzech osób. W wyniku zdarzenia doszło do utraty, a prawdopodobnie również do ujawnienia tych danych osobowych.
W wyniku przeprowadzonego postępowania organ nadzorczy stwierdził niezastosowanie przez K. odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych. Ponadto administrator nie dokonywał regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych.
17) A. S.A. z siedzibą w W.
Wysokość kary: 56 592 PLN
Decyzja Prezesa UODO z dnia 30 sierpnia 2023 r.
Pan A.M. złożył do Prezesa UODO skargę wskazującą na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. S.A. z siedzibą w W. Polegały one na niezrealizowaniu wniosku o odstęp do danych skarżącego.
W związku z tym Prezes UODO skierował do spółki wezwanie do złożenia wyjaśnień. Spółka przedstawiła swoje stanowisko, które jednak nie zawierało kompleksowej odpowiedzi na pytania zadane przez organ nadzorczy. W związku z tym Prezes UODO ponownie skierował do administratora pismo z żądaniem doprecyzowania wcześniej podanych informacji, jednak pozostało ono bez odpowiedzi.
Wobec powyższego organ wystosował jeszcze jedno pismo. Spółka tym razem udzieliła odpowiedzi, jednak korespondencja zawierała braki. W związku z tym Prezes UODO wezwał spółkę do uzupełnienia braków formalnych, jednak odpowiedź nie została udzielona. Organ nadzorczy ponowił pismo, jednak ono również nie wywołało reakcji ze strony spółki. Biorąc pod uwagę niewłaściwą współpracę administratora z organem nadzorczym, nałożono na niego administracyjną karę pieniężną.
18) Link4 Towarzystwo Ubezpieczeń S.A.
Wysokość kary: 103 752 PLN
Decyzja Prezesa UODO z dnia 18 października 2023 r.
W kwietniu 2022 r. do organu nadzorczego wpłynęła mailowo informacja od osoby niezwiązanej z ubezpieczycielem wskazująca na udostępnienie jej (jako osobie nieuprawnionej) potwierdzenia przyznania odszkodowania. Zawierało ono dane osobowe w postaci: imienia, nazwiska i adresu do korespondencji osoby wskazanej w tym zawiadomieniu. W dokumencie stanowiącym załącznik do e-maila znajdowały się również dane dotyczące marki i modelu samochodu, jego numeru rejestracyjnego oraz numer polisy, numer szkody oraz jej wartość, a także kwota uznanego roszczenia. Ponadto osoba zgłaszająca przekazała tę informację również administratorowi (czyli Link4), jednak nie otrzymała odpowiedzi.
W związku z otrzymaniem zgłoszenia organ nadzorczy zwrócił się do Link4 z żądaniem złożenia wyjaśnień. W odpowiedzi administrator przyznał, że wiedział o zdarzeniu. W jego ocenie do incydentu doszło „w wyniku błędu ludzkiego”. ADO dokonał analizy ryzyka incydentu w oparciu o rekomendowaną na stronie internetowej UODO „metodologię ENISA” i dostępny w Internecie darmowy kalkulator oceny wagi naruszenia. Przeprowadzona na tej podstawie analiza wykazała niskie ryzyko naruszenie praw i wolności osoby, której dane dotyczą. W związku z tym Link4 odnotowało incydent w wewnętrznym rejestrze incydentów, nie informując o zdarzeniu Prezesa UODO.
W ocenie Prezesa UODO incydent wymagał zgłoszenia do organu nadzorczego, w związku z tym na administratora nałożona została administracyjna kara pieniężna.
19) W. spółka jawna z siedzibą w W.
Wysokość kary: 14 148 PLN
Decyzja Prezesa UODO z dnia 16 listopada 2023 r.
Pani M.S. złożyła do Prezesa UODO skargę wskazującą na nieprawidłowości w procesie przetwarzania jej danych osobowych przez W. Sp. j. z siedzibą w W. Polegały one na przetwarzaniu jej danych osobowych w celach marketingowych bez podstawy prawnej oraz nieuwzględnieniu jej wniosku o usunięciu tych danych osobowych.
W związku z otrzymaniem zgłoszenia organ nadzorczy zwrócił się do spółki z żądaniem złożenia wyjaśnień. Pismo było dwukrotnie awizowane, a następnie zostało zwrócone do nadawcy z uwagi na niepodjęcie go przez adresata. Prezesa UODO ponowie skierował do spółki pismo, jednak i to – po dwukrotnym awizowaniu – zwrócono do organu.
W związku z tym na administratora nałożona została sankcja pieniężna będąca rezultatem braku współpracy z Prezesem UODO.
20) Minister Zdrowia
Wysokość kary: 100 000 PLN
Decyzja Prezesa UODO z dnia 20 grudnia 2023 r.
9 sierpnia 2023 r. do Prezesa UODO wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Zdrowia. Wynikało z niego, że „Dyrektor Pionu […] w Ministerstwie Zdrowia, na ustne polecenie Ministra Zdrowia, wyznaczył pracownika, który odszyfrował w systemie […] receptę, na której znajdowały się dane osobowe lekarza, a następnie przekazał informacje, które się na niej znajdowały, Ministrowi Zdrowia”.
4 sierpnia 2023 r. w serwisie społecznościowym X (dawniej Twitter) Minister Zdrowia opublikował wpis, w którym znalazły się informacje z przedmiotowej recepty. Były to dane lekarza, który wystawił sobie receptę na lek z grupy psychotropowych. We wpisie znalazły się informacje w postaci imienia i nazwiska, miejsca pracy oraz informacji o kategorii leku, na który została wystawiona recepta.
Prezes UODO stwierdził naruszenie przez Ministra Zdrowia kilku przepisów RODO. Po pierwsze, art. 6 ust. 1 w zw. z art. 9 ust. 1 RODO poprzez niezgodne z prawem przetwarzanie danych osobowych, w tym danych szczególnej kategorii. Ponadto doszło do naruszenia szeregu zasad dotyczących przetwarzania danych osobowych, określonych w art. 5 RODO – tj. „zgodność z prawem, rzetelność i przejrzystość”, „integralność i poufność” oraz zasady rozliczalności.
Organ nadzorczy stwierdził również niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy pomocy systemu Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych. Ponadto administrator naruszył także art. 33 ust. 3 RODO poprzez niepowiadomienie o naruszeniu osoby, której dane dotyczą.
Po jakimś czasie od publikacji naszego artykułu na stronie Prezesa UODO pojawiły się kolejne decyzje administracyjne nakładające kary pieniężne za naruszenie przepisów RODO. Poniżej prezentujemy ich zestawienie:
21) Szkoła Główna Handlowa w Warszawie
Decyzja z dnia 30 listopada 2023 roku
Wysokość kary: 35 000 PLN
We wrześniu 2022 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez Szkołę Główną Handlową (SGH). Polegało ono na ujawnieniu w Internecie danych 1461 studentów, absolwentów i byłych studentów SGH. Do zdarzenia doszło podczas przenoszenia systemu na nowy serwer. Powodem incydentu było niewłaściwe zabezpieczenie danych osobowych w aplikacji do rekrutacji na wymiany studenckie.
Według SGH incydent miał wynikać wyłącznie z błędu pracownika. Administrator twierdził, że do pomyłki człowieka doszło pomimo dochowania wymaganych standardów ochrony danych. Prezes UODO uznał natomiast, że uczelnia nie realizowała obowiązków wynikających z RODO, tj. nie przeprowadziła analizy ryzyka, a w efekcie tego nie dobrała prawidłowych środków bezpieczeństwa. Dlatego organ nadzorczy nałożył na SGH karę.
22) ENEA S.A.
Decyzja z dnia 30 listopada 2023 r.
Wysokość kary: 282 960 PLN
W styczniu 2023 r. do Prezesa UODO wpłynęło pismo z Sądu Okręgowego w P. zawierające informację o toczącej się w nim sprawie z powództwa osoby fizycznej przeciwko Enea S.A. Przedmiotem postępowania było roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych. Z pisma wynikało, że polegało ono na wysłaniu korespondencji zawierającej umowę łączącą strony na nieprawidłowy adres, co skutkowało ujawnieniem osobie nieuprawnionej danych osobowych klientki Spółki. O incydencie osoba, której dane dotyczą została poinformowana przez odbiorcę korespondencji.
W związku z otrzymanym pismem Prezes UODO zwrócił się do spółki o złożenie wyjaśnień. ENEA S.A. W skierowanej do Prezesa UODO korespondencji potwierdzono, że doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu danych osobowych w zakresie imienia, nazwiska, nr PESEL, danych teleadresowych oraz adresu e-mail. Natomiast spółka „zakwalifikowała ww. zdarzenie jako cechujące się małym prawdopodobieństwem wystąpienia skutków w postaci ryzyka naruszenia praw lub wolności osób fizycznych, w związku z czym odstąpiono od zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO”.
Z kwalifikacją incydentu dokonaną przez Spółkę nie zgodził się Prezes UODO i ukarał podmiot za zaniechanie zgłoszenia naruszenia i niepoinformowanie o nim osoby, której dane dotyczą.
23) S7Health Sp. z o.o.
Decyzja z dnia 30 listopada 2023 r.
Wysokość kary: 117 900 PLN
S7Health Sp. z o.o. w marcu 2021 roku dokonała zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO. Miało ono polegać na zniszczeniu serwerowni w wyniku pożaru, czym z kolei został naruszony atrybut dostępności danych osobowych. Z dalszych pism spółki wynikało, że nie dysponowała ona kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru. Spółka nie posiadała również opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem.
W wyniku przeprowadzonego postępowania Prezes UODO ustalił, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych.
24) X
Decyzja z dnia 6 grudnia 2023 r. (brak decyzji na stronie UODO)
Wysokość kary: 14 148 PLN
Ze sprawozdania Prezesa UODO z działalności w 2023 roku (sprawozdanie można pobrać tutaj) wynika, że decyzją z dnia 6 grudnia 2023 r. nałożono administracyjną karę pieniężną w wysokości 14 148 PLN. W sprawozdaniu brak jest jakichkolwiek informacji na temat tej decyzji. Nie została ona opublikowana na stronie UODO.
25) N. Sp. z o.o.
Decyzja z dnia 7 grudnia 2023 r.
Wysokość kary: 11 790 PLN
W listopadzie 2022 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez N. Sp. z o.o. Polegało ono na ujawnieniu przez pracownika Spółki danych osobowych pracowników i klientów osobie trzeciej. Ze zgłoszenia wynikało, że naruszenie dotyczyło 18 osób, natomiast administrator powiadomił o zdarzeniu 17 z nich. W związku z tym Prezes UODO zwrócił się do N. sp. z o.o. o złożenie wyjaśnień. Pismo zostało odebrane przez przedstawicieli spółki, jednak nie udzielono na nie odpowiedzi. W związku z tym Prezes UODO ponownie skierował korespondencję do spółki, która została odebrana, jednak również na nią nie udzielono odpowiedzi. Oba pisma zawierały pouczenie wskazujące, że brak złożenia wyjaśnień w sprawie skutkować może nałożeniem administracyjnej kary pieniężnej.
W związku z brakiem współpracy z organem nadzorczym Prezes UODO nałożył na administratora przedmiotową karę.
26) M. Sp. z o.o.
Decyzja z dnia 13 grudnia 2023 r.
Wysokość kary: 23 580 PLN
Prezes UODO decyzją z dnia 15 grudnia 2022 r. nakazał M. Sp. z o.o. usunąć dane osobowe Pana T. B. w zakresie numeru telefonu oraz adresu poczty elektronicznej. Decyzja została wydana w efekcie złożenia przez podmiot danych skargi na nieprawidłowości w procesie przetwarzania danych osobowych przez Spółkę.
Decyzja zawierająca nakaz została wysłana na adres spółki widniejący w Krajowym Rejestrze Sądowym (KRS). Pismo zostało dwukrotnie awizowane i po upływie terminu na odbiór zostało zwrócone do UODO z adnotacją: „ZWROT nie podjęto w terminie”. Pismo to, stosownie do treści art. 44 w związku z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, zostało uznane za prawidłowo doręczone Spółce w terminie 4 stycznia 2023 r.
W celu sprawdzenia, czy nałożony ww. decyzją obowiązek został spełniony przez Spółkę Prezes UODO wezwał ją do złożenia wyjaśnień i przedstawienia dowodów potwierdzających wykonanie nakazu decyzji. Spółka ponownie nie odebrała korespondencji. Z uwagi na to nie przedstawiła żadnych dowodów wskazujących wykonanie nałożonego na nią obowiązku.
Z uwagi na to Prezes UODO ukarał spółkę administracyjną karą pieniężną za niewykonanie decyzji.
27) Sąd Okręgowy w Krakowie
Decyzja z dnia 19 grudnia 2023 r.
Wysokość kary: 10 000 PLN
Do Prezesa UODO w lipcu 2022 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Ministra Spraw Zagranicznych. Polegało ono na dostarczeniu adresatowi (stronie pozwanej postępowania sądowego) uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe. Nadawcą przesyłki był Konsulat Generalny RP, natomiast doręczenie nastąpiło na wniosek Sądu Okręgowego w Krakowie.
Administratorem danych osobowych zawartych w korespondencji był Sąd Okręgowy w Krakowie, dlatego Prezes UODO skierował do niego pismo z żądaniem złożenia wyjaśnień. Z korespondencji wynikało, że naruszenie dotyczyło 7 osób. Wśród danych objętych incydentem znalazły się m.in. numery PESEL, dane dotyczące zdrowia (w tym zdrowia psychicznego dwóch małoletnich dzieci). Administrator dokonał analizy zdarzenia, jednak zaniechał dokonania zgłoszenia do organu nadzorczego oraz poinformowania o incydencie osób, których on dotyczył. Prezes UODO uznał, że zgłoszenie było konieczne.
Z uwagi na to, że zostało ono dokonane przez innych podmiot, organ nadzorczy nałożył na Sąd Okręgowy w Krakowie administracyjną karę pieniężną za naruszenie art. 33 i 34 RODO.
28) Wójt Gminy Nowiny
Decyzja z dnia 20 grudnia 2023 r.
Wysokość kary: 50 000 PLN
Wójt Gminy Nowiny w grudniu 2021 r. zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. Polegało ono na zaszyfrowaniu serwera, na którym znajdowała się baza danych związanych z obsługą finansowo-kadrową Urzędu. Administrator wskazał, że przyczyną naruszenia były zewnętrzne działania zamierzone (tj. atak cyberprzestępców). Wójt w dalszych pismach przedłożył Prezesowi UODO analizę ryzyka, jednak nie obejmowała ona wszystkich zagrożeń. W wyniku tego w urzędzie nie wprowadzono środków technicznych odpowiadających ryzyku.
W związku z tym organ nadzorczy nałożył na Wójta Gminy Nowiny (jako administratora) karę pieniężną za niezastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych.
29) X
Decyzja z dnia 20 grudnia 2023 r. (brak decyzji na stronie UODO)
Wysokość kary: 10 000 PLN
Ze sprawozdania Prezesa UODO z działalności w 2023 roku wynika, że decyzją z dnia 20 grudnia 2023 r. nałożono administracyjną karę pieniężną w wysokości 10 000 PLN. W sprawozdaniu brak jest jakichkolwiek informacji na temat tej decyzji. Nie została ona opublikowana na stronie UODO.
30) K. Sp. z o.o.
Decyzja z dnia 21 grudnia 2023 r.
Wysokość kary: 18 864 PLN
W lutym 2023 roku do Prezesa UODO wpłynęła skarga Pana B.M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez F. Sp. z o.o. Polegały one na przetwarzaniu i udostępnieniu podmiotom nieuprawnionym danych osobowych Skarżącego bez podstawy prawnej.
W związku z otrzymaniem skargi Prezes UODO zwrócił się do Spółki o ustosunkowanie się do jej treści i udzielenie odpowiedzi na pytania zawarte w piśmie. Spółka odebrała korespondencję, ale nie udzieliła na nią odpowiedzi. Organ nadzorczy ponownie skierował pismo do spółki, która po raz kolejny je odebrała i nie udzieliła odpowiedzi.
Oba pisma zawierały pouczenie wskazujące, że niezłożenie wyjaśnień w sprawie może stanowić naruszenie obowiązku współpracy z organem nadzorczym, co w konsekwencji może skutkować nałożeniem administracyjnej kary pieniężnej.
Podsumowanie
Rok 2023 był rekordowy pod kątem liczby wydanych przez Prezesa UODO decyzji nakładających administracyjne kary pieniężne, których było 30. Z zestawienia wynika, że organ nakłada coraz więcej kar, które opiewają na mniejsze kwoty. Były one nakładane zarówno na podmioty publiczne, jak i prywatne. Wśród ukaranych podmiotów znalazły się małe i duże przedsiębiorstwa oraz osoby fizyczne.
Biorąc pod uwagę przedmiot decyzji najczęstszymi powodami nałożenia administracyjnej kary pieniężnej są: brak należytej współpracy z organem nadzorczym, niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających właściwy stopień bezpieczeństwa oraz niezgłoszenie naruszenia ochrony danych osobowych.
W 2024 w dalszym ciągu będziemy przyglądać się decyzjom nakładanym przez organ nadzorczy i analizować je na bieżąco. Ich podsumowanie zostanie przez nas opublikowane za rok w kolejnym artykule z tej serii.