202110.14
0

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra ukarana przez UODO

Dnia 30 czerwca 2021 r. w Warszawie, Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra z siedzibą w Warszawie, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i w związku z tym wydał decyzję w myśl której fundacja ta, musi zapłacić administracyjną karę pieniężną w wysokości 13 644 PLN.
Do naruszenia ochrony danych osobowych doszło na skutek kradzieży teczek zawierających dane osobowe beneficjentów Fundacji z jej mazowieckiego biura terenowego.

Jak wynika z zawiadomienia, kradzież była przedmiotem postępowania karnego prowadzonego przez Prokuraturę Rejonową w Warszawie, niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia przez tą instytucję, wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa z art. 279 kk, nie zaś utraty dokumentów zawierających dane osobowe. W związku z powyższym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami odpowiedniego rozporządzenia.

W związku z powyższym, w listopadzie 2020 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu. W odpowiedzi na to zapytanie, Fundacja stwierdziła, iż nie zgłaszała organowi nadzorczemu naruszenia i nie ma wyznaczonego w swojej organizacji odpowiedniego inspektora ochrony danych. Ponadto Fundacja wskazała, że dokonana przez nią analiza naruszenia doprowadziła do oceny jego wagi na poziomie „niskim”. Na tej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO.


Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w grudniu 2020 r. Prezes UODO wszczął wobec Fundacji postępowanie administracyjne.
Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:
Art. 33 rozporządzenia 2016/679 stanowi, że w przypadku, w którym doszło do naruszenia ochrony danych osobowych, administrator tych danych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia musi je zgłosić organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Fundacja podejmując zatem decyzję o niezawiadomieniu o naruszeniu odpowiedniego organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia bowiem osobom poszkodowanym podjęcie niezbędnych działań zapobiegawczych w celu ochrony ich praw lub wolności przed negatywnymi skutkami naruszenia.


W ocenie Prezesa UODO, nie ulegało wątpliwości, że zdarzenie polegające na „utracie danych osobowych wielu osób, jaka miała miejsce, na skutek kradzieży teczek zawierających dane osobowe beneficjentów” z uwagi na zakres danych znajdujących się w utraconej dokumentacji stanowił naruszenie poufności danych ze względu na możliwość zapoznania się z ww. danymi przez osoby nieuprawnione oraz naruszenie dostępności danych w związku z tym, że „utracona dokumentacja nie podlegała odtworzeniu”. W konsekwencji należało uznać, że wystąpiło naruszenie bezpieczeństwa prowadzące do przypadkowego utracenia oraz nieuprawnionego dostępu do danych osobowych przetwarzanych przez Fundację, a zatem naruszenie ochrony danych osobowych.


Stwierdzone w niniejszej sprawie przez Prezesa UODO naruszenie miało znaczną wagę i poważny charakter, ponieważ mogło doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia było wysokie. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie miał podstaw do uwzględnia jakichkolwiek okoliczności łagodzących, które mogłyby mieć wpływ na ostateczny wymiar kary.
Wysokość kary została przez Prezesa UODO określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa powodujące konieczność istotnego ograniczenia pozytywnej z punktu widzenia interesu społecznego działalności Fundacji.