Kara za niewykonanie decyzji PUODO

Czy prowadząc z PUODO korespondencję dotyczącą wycieku danych osobowych można rżnąć głupa? Czy ignorowanie jednoznacznych wskazówek i podpowiedzi może być potraktowane jako naruszenie RODO? Czy za niewykonanie decyzji  PUODO administratorowi grozi kara pieniężna? (decyzja PUODO nr DKE.561.11.2020 z 5 stycznia 2021 r.).

Sprawa zaczęła się od zgłoszenia przez przedsiębiorcę prowadzącego przychodnię lekarską naruszenia danych osobowych — nieuprawnionego skopiowania przez byłego pracownika (lekarza) danych osobowych 100 pacjentów (numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu i numeru telefonu). Przychodnia oceniła ryzyko naruszenia praw i wolności osób jako wysokie, ale nie zdecydowała się na ich zawiadomienie o wycieku, więc Prezes Urzędu Ochrony Danych Osobowych w pisemnym wystąpieniu wezwał przychodnię do wysłania zawiadomień.

art. 34 ust. 1-2 rozporządzenia nr 679/2016 o ochronie danych osobowych
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

Lecznica nie zastosowała się do wezwania, toteż PUODO wydał decyzję nakazującą wykonanie obowiązku określonego w art. 34 RODO. Decyzja się uprawomocniła, zaś po kilku miesiącach PUODO wszczął postępowanie sprawdzające, w toku którego przedsiębiorca wyjaśnił, iż był w stanie przesłać zawiadomień — ponieważ „niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu. Obecnie w naszych placówkach leczy się ponad […] osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest awykonalne”.

art. 58 ust. 2 lit. e) rozporządzenia nr 679/2016 o ochronie danych osobowych
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

Dość rzec, że w tym momencie zaczął się dość paradny ping-pong (czytając treść decyzji można odnieść wrażenie, że pełnomocnik przedsiębiorcy podszedł do prowadzonej korespondencji z potwornym lekceważeniem, zaś informacja o 37 znaczkach pocztowych a 3,30 złotych każdy oraz bojkot próśb o przesłanie prawidłowej listy osób, do których pisma zostały przesłane mogą być wzorcem jak spraw załatwiać nie należy) — co potwierdzało niewykonanie decyzji PUODO, za co grozi kara pieniężna.

art. 83 ust. 6 rozporządzenia nr 679/2016 o ochronie danych osobowych
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa — w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zawiadomienie o naruszeniu ochrony danych powinno zawierać przynajmniej: opis naruszenia, imię i nazwisko i dane kontaktowe IOD lub innego punktu kontaktowego, który może udzielać informacji o zdarzeniu, opis możliwych konsekwencji wycieku danych osobowych, a także opis zastosowanych lub proponowanych środków służących przeciwdziałaniu negatywnych skutków wycieku. Przychodnia miała tego świadomość, ponieważ była o swych powinnościach informowana w toku całego postępowania, powinno być także oczywiste, iż ujawnienie osobie postronnej takich danych jak numer PESEL etc. rodzi wysokie ryzyko poważnych konsekwencji.
Prawidłowe wykonanie obowiązku zawiadomienia o naruszeniu ochrony danych mieści się w zasadzie rozliczalności (art. 5 ust. 2 RODO) — skoro więc w prawomocnej decyzji nakazano wysłanie zawiadomień, a następnie wezwano do przedstawienia dowodów — to za brak dowodu na przesłanie zawiadomienia naruszeniu ochrony danych osobowych może być nałożona kara. PUODO m.in. zwrócił  uwagę, iż wysłano tylko 37 zawiadomień, a była mowa o wycieku danych 100 pacjentów, faktura na zakup znaczków pocztowych nie oznacza doręczenia przesyłki, zaś wysyłka listem zwykłym niczego nie gwarantuje, zaś wszelkie działania podejmowane były opieszale i niestarannie — zaś niestosowanie się, wręcz ignorowanie wskazówek świadczy o rażącym lekceważeniu obowiązków wynikających z przepisów o ochronie danych osobowych.

Z tego względu PUODO wydał kolejną decyzję — tym razem nakładając na przedsiębiorcę prowadzącego przychodnię karę w wysokości 85,5 tys. złotych.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

15 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze