Nie każde podstępowanie administracyjne wszczęte przez organ nadzorczy musi zakończyć się nałożeniem administracyjnej kary pieniężnej. UODO w swoim wachlarzu instrumentów służących egzekwowaniu przepisów RODO posiada również kary upomnienia. W pierwszych latach stosowania przepisów RODO organ nadzorczy zwlekał ze skorzystaniem ze wspomnianego instrumentu. Pierwsza decyzja o nałożeniu kary upomnienia ujrzała światło dzienne dopiero we wrześniu w 2020. W sumie w 2021 roku organ nadzorczy wydał 8 tego rodzaju decyzji.
Poniżej znajduje się zestawienie decyzji dotyczących kar upomnienia wydanych przez organ nadzorczy w 2021 r. oraz opis najciekawszej z nich.
KARA UPOMNIENIA DLA SPÓŁKI DZIAŁAJĄCEJ W OBSZARZE PLACÓWEK UZDROWISKOWYCH
Prezes UODO swoją decyzją z dnia 11 stycznia 2021 r. stwierdził naruszenie przepisów RODO przez administratora, który nie zapewnił właściwej ochrony danych osobowych, co doprowadziło do naruszenia.
Spółka działająca w branży uzdrowiskowej w maju 2020 r. zgłosiła do organu nadzorczego naruszenie polegające na utracie dostępu do danych osobowych wskutek działania złośliwego oprogramowania typu RANSOMWARE. Zaszyfrowane dane obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów. Spółce udało się odzyskać dane osobowe, niemniej jednak po uzyskaniu wyjaśnień UODO wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę obowiązków wynikających z przepisów RODO.
W drodze postępowania organ nadzorczy wykazał występowanie rozwiązań informatycznych (system operacyjny oraz system baz danych) w wersjach niewspieranych już przez ich dostawców. Urząd stwierdził więc, że Spółka „nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu”. Organ wykazał również, iż Spółka nie dokonywała należycie oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Nie wykonywano testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji.
Prezes UODO decydując o rodzaju kary wziął pod uwagę nie tylko szczegóły sprawy (w tym współpracę Spółki w zakresie szybkiego podjęcia działań naprawczych), ale również okoliczności, w których doszło do naruszenia – zakaz funkcjonowania placówek uzdrowiskowych z uwagi na epidemię COVID-19. Czasowy brak dostępu do danych nie spowodował więc negatywnych skutków dla podmiotów danych.
ZESTAWIENIE POZOSTAŁYCH DECYZJI NAKŁADAJĄCYCH KARY UPOMNIENIA w 2021 R.
Decyzja Prezesa UODO o udzielenie upomnienia za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. g RODO.
Decyzja Prezesa UODO udzielająca upomnienia osobie fizycznej administrującej serwisem www za uchylanie się od wykonania decyzji Prezesa UODO nakazującej usunięcie danych osobowych ze strony internetowej.
Ponadto za brak współpracy z organem nadzorczym wydano 5 decyzji upominających: