Kary upomnienia wydane w 2021 roku przez Prezesa UODO

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 14 marca 2022

14

mar
2022

Nie każde podstępowanie administracyjne wszczęte przez organ nadzorczy musi zakończyć się nałożeniem administracyjnej kary pieniężnej. UODO w swoim wachlarzu instrumentów służących egzekwowaniu przepisów RODO posiada również kary upomnienia. W pierwszych latach stosowania  przepisów RODO organ nadzorczy zwlekał ze skorzystaniem ze wspomnianego instrumentu. Pierwsza decyzja o nałożeniu kary upomnienia ujrzała światło dzienne dopiero we wrześniu w 2020. W sumie w 2021 roku organ nadzorczy wydał 8 tego rodzaju decyzji.

Poniżej znajduje się zestawienie decyzji dotyczących kar upomnienia wydanych  przez organ nadzorczy w 2021 r. oraz opis najciekawszej z nich.

KARA UPOMNIENIA DLA SPÓŁKI DZIAŁAJĄCEJ W OBSZARZE PLACÓWEK UZDROWISKOWYCH

Prezes UODO swoją decyzją z dnia 11 stycznia 2021 r. stwierdził naruszenie przepisów RODO przez administratora, który nie zapewnił właściwej ochrony danych osobowych, co doprowadziło do naruszenia.

Spółka działająca w branży uzdrowiskowej w maju 2020 r. zgłosiła do organu nadzorczego naruszenie polegające na utracie dostępu do danych osobowych wskutek działania złośliwego oprogramowania typu RANSOMWARE. Zaszyfrowane dane obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów. Spółce udało się odzyskać dane osobowe, niemniej jednak po uzyskaniu wyjaśnień UODO wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę obowiązków wynikających z przepisów RODO.

W drodze postępowania organ nadzorczy wykazał występowanie rozwiązań informatycznych (system operacyjny oraz system baz danych) w wersjach niewspieranych już przez ich dostawców. Urząd stwierdził więc, że Spółka „nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu”. Organ wykazał również, iż Spółka nie dokonywała należycie oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Nie wykonywano testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji.

Prezes UODO decydując o rodzaju kary wziął pod uwagę nie tylko szczegóły sprawy (w tym współpracę Spółki w zakresie szybkiego podjęcia działań naprawczych), ale również okoliczności, w których doszło do naruszenia – zakaz funkcjonowania placówek uzdrowiskowych z uwagi na epidemię COVID-19. Czasowy brak dostępu do danych nie spowodował więc negatywnych skutków dla podmiotów danych.

ZESTAWIENIE POZOSTAŁYCH DECYZJI NAKŁADAJĄCYCH KARY UPOMNIENIA w 2021 R.

Decyzja Prezesa UODO o udzielenie upomnienia za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. g RODO.

Decyzja Prezesa UODO udzielająca upomnienia osobie fizycznej administrującej serwisem www za uchylanie się od wykonania decyzji Prezesa UODO nakazującej usunięcie danych osobowych ze strony internetowej.

Ponadto za brak współpracy z organem nadzorczym wydano 5 decyzji upominających:

  1. Panu M. B. prowadzącemu działalność gospodarczą,

  2. D. Spółka z o. o.

  3. N. Spółka z o. o.

  4. Panu T. Z. prowadzącemu działalność gospodarczą

  5. E. Spółka z o. o.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


cztery × cztery =