blog
Pierwsza kara UODO za nieprzestrzeganie nakazu decyzji administracyjnej
prezes Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) w dniu 5 stycznia 2021 r. po raz pierwszy nałożył karę za nieprzestrzeganie wydanego wcześniej nakazu. Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, zobowiązany jest do zapłaty kary finansowej w wysokości ponad 85 tys. zł.
Naruszenie ochrony danych osobowych
W lipcu 2019 roku do UODO wpłynęło zawiadomienie o naruszeniu ochrony danych osobowych w przedsiębiorstwie zajmującym się ochroną zdrowia. Naruszenie polegało na nieuprawnionym skopiowaniu danych osobowych stu pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Przedsiębiorca zrezygnował z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie.
W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r., str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r; dalej jako: „RODO”), wezwał go do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.
Kolejna decyzja UODO
W związku z brakiem reakcji Przedsiębiorcy na wystąpienie UODO, Prezes urzędu wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
Decyzją administracyjną Prezes UODO nakazał Przedsiębiorcy – na podstawie art. 58 ust. 2 lit. e) Rozporządzenia 2016/679 – zawiadomienie osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna.
W celu weryfikacji, czy nałożone powyższą decyzją obowiązki zostały wykonane przez Przedsiębiorcę, Prezes UODO wszczął postępowanie sprawdzające. W pierwszej kolejności UODO wezwał Przedsiębiorcę do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, o których mowa w nakazie decyzji, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie. W odpowiedzi Przedsiębiorca nie przesłał żądanych kopii powiadomień, a jedynie pismem, wskazał, że nie był on w stanie stworzyć listy poszkodowanych osób.
Następnie Prezes UODO skierował do Przedsiębiorcy upomnienie, o którym mowa w art. 15 § 1 ustawy z dna 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2020 r., poz. 1427 ze zm.), zawierające wezwanie Przedsiębiorcy do wykonania nakazu decyzji w terminie 7 dni i do udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania. W tym samym miesiącu pełnomocnik Przedsiębiorcy przedstawił kopie dziesięciu pism przesłanych listem poleconym. Przedstawione kopie zawiadomień, według UODO nie zawierały wszystkich informacji, do udzielenia których zobowiązany został Przedsiębiorca nakazem decyzji Prezesa UODO, tj. nie zawierały informacji dotyczących opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków. W związku z tym, Prezes UODO wezwał Przedsiębiorcę do uzupełnienia wyjaśnień oraz przedstawienia dowodów dokumentujących wykonanie decyzji.
Przedsiębiorca nie zgodził się z opinią UODO i poinformował Urząd, że według niego nie zachodzi konieczność ponownego informowania o naruszeniu pacjentów.
Postępowanie w sprawie nałożenia kary
W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e) w związku z art. 34 ust. 1 i 2 RODO.
Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :
- długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
- umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania,
- niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczące o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych.
W związku z powyższym na Przedsiębiorcę została nałożona administracyjna kara pieniężna w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.
Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.