blog

Pierwsza kara UODO za nieprzestrzeganie nakazu decyzji administracyjnej

17/02/21 | Artykuły

prezes Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) w dniu 5 stycznia 2021 r. po raz pierwszy nałożył karę za nieprzestrzeganie wydanego wcześniej nakazu. Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, zobowiązany jest do zapłaty kary finansowej w wysokości ponad 85 tys. zł.

Naruszenie ochrony danych osobowych

W lipcu 2019 roku do UODO wpłynęło zawiadomienie o naruszeniu ochrony danych osobowych w przedsiębiorstwie zajmującym się ochroną zdrowia. Naruszenie polegało na nieuprawnionym skopiowaniu danych osobowych stu pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Przedsiębiorca zrezygnował z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie.

W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r., str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r; dalej jako: „RODO”), wezwał go do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. 

 

Kolejna decyzja UODO

W związku z brakiem reakcji Przedsiębiorcy na wystąpienie UODO, Prezes urzędu wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

Decyzją administracyjną Prezes UODO nakazał Przedsiębiorcy – na podstawie art. 58 ust. 2 lit. e) Rozporządzenia 2016/679 – zawiadomienie osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna.

W celu weryfikacji, czy nałożone powyższą decyzją obowiązki zostały wykonane przez Przedsiębiorcę, Prezes UODO wszczął postępowanie sprawdzające. W pierwszej kolejności UODO wezwał Przedsiębiorcę do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, o których mowa w nakazie decyzji, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie. W odpowiedzi Przedsiębiorca nie przesłał żądanych kopii powiadomień, a jedynie pismem, wskazał, że nie  był on w stanie stworzyć listy poszkodowanych osób.

Następnie Prezes UODO skierował do Przedsiębiorcy upomnienie, o którym mowa w art. 15 § 1 ustawy z dna 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2020 r., poz. 1427 ze zm.), zawierające wezwanie Przedsiębiorcy do wykonania nakazu decyzji w terminie 7 dni i do udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania. W tym samym miesiącu pełnomocnik Przedsiębiorcy przedstawił kopie dziesięciu pism przesłanych listem poleconym. Przedstawione kopie zawiadomień, według UODO nie zawierały wszystkich informacji, do udzielenia których zobowiązany został Przedsiębiorca nakazem decyzji Prezesa UODO, tj. nie zawierały informacji dotyczących opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków. W związku z tym, Prezes UODO wezwał Przedsiębiorcę do uzupełnienia wyjaśnień oraz przedstawienia dowodów dokumentujących wykonanie decyzji.

Przedsiębiorca nie zgodził się z opinią UODO i poinformował Urząd, że według niego nie zachodzi konieczność ponownego informowania o naruszeniu pacjentów.

 

Postępowanie w sprawie nałożenia kary

W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e) w związku z art. 34 ust. 1 i 2 RODO.

Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :

  • długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
  • umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania,
  • niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczące o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych.

W związku z powyższym na Przedsiębiorcę została nałożona administracyjna kara pieniężna w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.

 

Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.

 

Źródło: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

Przekazywanie danych osobowych do UK w świetle brexitu

Przekazywanie danych osobowych do UK w świetle brexitu

W związku z procesem wyjścia Wielkiej Brytanii z Unii Europejskiej, od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w…

RODO w 2020 roku – najwyższe kary

RODO w 2020 roku – najwyższe kary

blogW związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych...

Jak małe firmy z UE radzą sobie z wdrażaniem przepisów RODO

Jak małe firmy z UE radzą sobie z wdrażaniem przepisów RODO

blogZgodnie z raportem zaprezentowanym przez GDPR.UE, w którym badano stosowanie przepisów RODO w małych przedsiębiorstwach, należy uznać, że w dalszym ciągu wiele firm mających siedzibę na terytorium państw Unii Europejskiej nie poradziło sobie z wdrożeniem nowych...

NEWSLETTER RODO (3.02.2021)

NEWSLETTER RODO (3.02.2021)

blog1. BRAK ZGŁOSZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH BEZ ZBĘDNEJ ZWŁOKI POWODEM NAŁOŻENIA KARY – 28.12.2021 R. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu...

Przekazywanie danych osobowych do UK w świetle brexitu

Przekazywanie danych osobowych do UK w świetle brexitu

W związku z procesem wyjścia Wielkiej Brytanii z Unii Europejskiej, od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w…

RODO w 2020 roku – najwyższe kary

RODO w 2020 roku – najwyższe kary

blogW związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych...

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

Oddział Poznań

ul. Palacza 144
60-278 Poznań

Oddział Leszno

ul. Niepodległości 49
64-100 Leszno

    Wyrażam zgodę na przetwarzanie przez Kancelarię Radców Prawnych Marek Turcza z siedzibą w Poznaniu, moich danych osobowych wskazanych na formularzu kontaktowym w celach marketingowych.

    Wyrażam zgodę na otrzymywanie od Kancelarii Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838 informacji handlowej i materiałów promocyjnych środkami komunikacji elektronicznej (e-mail), w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.


    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.


    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Palacza 144
    60-278 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2021 TURCZA Kancelaria Radców Prawnych. All rights reserved.

    0