Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Naruszenia ochrony danych są jedną z okoliczności, które często wiążą się z nałożeniem na przedsiębiorcę kary pieniężnej. Oczywiście każdy z przedsiębiorców powinien podjąć odpowiednie działania, aby uniknąć tzw. incydentu (np. wdrażając odpowiednie środki techniczne i organizacyjne) – warto jednak wiedzieć, jak zachować się jeśli do incydentu już doszło (szczególnie że RODO przewiduje krótkie terminy na reakcję).

Co zrobić w przypadku incydentu? 

Jeśli dojdzie do naruszenia, w pierwszej kolejności należy oczywiście podjąć działania w celu ustalenia jego przyczyn i możliwych konsekwencji oraz zaradzenia naruszeniu, zabezpieczenia danych i zminimalizowania ew. negatywnych skutków incydentu. Obowiązkiem administratora jest też dokumentowanie wszystkich naruszeń – co w praktyce oznacza prowadzenie tzw. rejestru incydentów.

Czasem zdarza się jednak, że ww. działania nie są wystarczające – w niektórych sytuacjach RODO wprowadza obowiązek zgłoszenia incydentu do PUODO oraz zawiadomienia o nim osób, których dane dotyczą (art. 34 RODO).

Kiedy zawiadomić o incydencie osoby, których dane dotyczą?

Zgodnie z art. 34 RODO, zawiadomienie jest konieczne w przypadku, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce w razie zaistnienia incydentu administrator powinien każdorazowo dokonać kompleksowej oceny wpływu zdarzenia na prawa i wolności osób, których dane dotyczą, przeanalizować, czy istnieje ryzyko naruszenia tych wartości oraz czy ryzyko to jest wysokie.

Warto, aby przebieg i wyniki oceny właściwie udokumentować, szczególnie jeśli incydent podlega zgłoszeniu do PUODO, a administrator nie decyduje się na zawiadomienie o nim osób, których dane dotyczą. W praktyce zdarza się, że po zgłoszeniu do PUODO, organ zwraca się do przedsiębiorcy o wyjaśnienie przyczyn braku takiego zawiadomienia.

Jak szybko należy dokonać zawiadomienia? 

O ile w przypadku obowiązku zgłoszenia incydentu do organu RODO określa, że zgłoszenie to powinno nastąpić w ciągu 72 godzin, o tyle w przypadku zawiadomienia osób, których dane dotyczą RODO stanowi jedynie, że obowiązek ten należy zrealizować „bez zbędnej zwłoki”.

Pojęcie to jest bardzo ogólne, a faktyczny czas wymaganej reakcji uzależniony jest np. od takich czynników jak skala naruszenia i liczba osób, które należy zawiadomić. Nie ulega jednak wątpliwości, że przedsiębiorca powinien działać możliwie szybko, aby nie narazić się na zarzut nienależytej realizacji spoczywającego na nim obowiązku.

Czy brak zawiadomienia wiąże się z realnym ryzykiem nałożenia kary?

Tak — organ nałożył już na przedsiębiorców szereg kar za brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przykładowo:

• Przychodnia lekarska (decyzja)

Naruszenie polegało na nieuprawnionym skopiowaniu danych stu pacjentów z systemu przez byłego pracownika celem wykorzystania ich do marketingu własnych usług i obejmowało takie dane, jak numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy, numery telefonów.

Pomimo uznania ryzyka naruszenia praw i wolności osób dotkniętych incydentem za wysokie, przedsiębiorca nie zawiadomił o naruszeniu ww. osób w sposób należyty – za co PUODO nałożył na niego karę w wysokości 85 588 zł. 

W uzasadnieniu decyzji PUODO stwierdził m.in. że naruszenie poufności wskazanych wyżej danych powoduje wysokie ryzyko dla praw i wolności osób, których te dane dotyczą i wymaga zawiadomienia tych osób o naruszeniu celem poinformowania ich o możliwych negatywnych skutkach naruszenia oraz działaniach, jakie mogą one podjąć w celu zabezpieczenia się przed tymi skutkami.

• Śląski Uniwersytet Medyczny (decyzja)

PUDO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny w związku naruszeniem ochrony danych oraz brakiem zawiadomienia o nim organu i osób, których dotyczyło naruszenie.

Do naruszenia doszło w toku egzaminów prowadzonych online na dedykowanej platformie e-learningowej – po zakończonych egzaminach nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu i osób z zewnątrz posiadających bezpośredni link.

Ponieważ przed przystąpieniem do egzaminu studenci byli identyfikowani – na nagraniach (poza informacjami o zdawanym przedmiocie i udzielonych odpowiedziach) zarejestrowane mogły być m.in. takie dane jak wizerunek, PESEL, numer dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania, rok studiów, grupa, kierunek studiów.

W ocenie organu ww. naruszenie generowało wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane różnych zobowiązań), przy czym Uniwersytet niewłaściwie ocenił to ryzyko i nie wywiązał się z obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

• Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A (decyzja)

PUODO stwierdził, że spółka naruszyła przepisy RODO poprzez brak zgłoszenia organowi naruszenia oraz brak zawiadomienia o nim osób, których dane dotyczyły – w konsekwencji nakładając na spółkę karę w wysokości 85 588 zł.

Incydent polegał na wysłaniu e-mailem przez agenta ubezpieczeniowego (procesora spółki) polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał m.in. takie dane jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje o przedmiocie ubezpieczenia — doszło więc do naruszenia poufności ww. danych.

Spółka dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na jej podstawie uznała, że incydent nie wymaga zawiadomienia UODO ani osób dotkniętych naruszeniem. Spółka ustaliła też, że naruszenie powstało w wyniku wysłania polisy na błędny adres e-mail, który podał jej sam klient. TUiR Warta S.A. zwróciła się też do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej wiadomości.

PUODO stwierdził jednak, że:

• fakt, że do naruszenia doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako incydentu — administrator, dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail,
• zwrócenie się do nieuprawnionego odbiorcy o trwałe usunięcie wiadomości nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą, nie jest wysokie — administrator nie ma pewności, że adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Oczywiście wysokość nakładanych kar może być w praktyce zróżnicowana, i uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Jeśli zdarzy się, że dojdzie do naruszenia ochrony danych – pamiętajmy o możliwe szybkiej i przemyślanej reakcji. Ważne, aby przedsiębiorcy przykładali odpowiednią wagę do oceny ryzyka wynikającego z incydentu i przestrzegali terminów wynikających z RODO – tak, aby w razie ewentualnej kontroli mieć możliwość wykazania należytej staranności po zaistnieniu naruszenia.