Stan faktyczny

W lutym 2020 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) otrzymał zgłoszenie naruszenia ochrony danych osobowych 400 osób. Na przenośnym nośniku znajdowały się takie dane, jak: imię, nazwisko, data urodzenia, adres zamieszkania lub pobytu, numer PESEL, seria i numer dowodu osobistego, numer telefonu, informacje dotyczące wyroków skazujących, zarobków i/lub posiadanego majątku oraz zdrowia.

Mając na uwadze ryzyko naruszenia praw lub wolności osób fizycznych, administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat dla poszkodowanych osób fizycznych, których dane dotyczą.

Decyzja organu

Postępowanie wyjaśniające organu nadzorczego wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych. Należy zauważyć, że do użytku służbowego wydano kuratorowi sądowemu niezabezpieczony nośnik pamięci. Co więcej, zobowiązano kuratora – we własnym zakresie – do wdrożenia zabezpieczeń szyfrujących pamięć. W związku z brakiem wprowadzenia odpowiednich środków bezpieczeństwa w prosty sposób można było zapoznać się z danymi.

Jak wskazał w wydanej decyzji organ nadzorczy, administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

W dniu wydania decyzji PUODO konsekwencje naruszenia przepisów RODO przez administratora danych nadal trwały. Niezabezpieczony nośnik pamięci nie został odnaleziony, co powoduje, że osoby nieuprawnione mogą mieć dostęp do znajdujących się na nim danych osobowych. Dlatego też PUODO uznał wysokie ryzyko naruszenia praw lub wolności tych osób.

Przy ustalaniu wysokości kary pieniężnej jako okoliczność łagodzącą organ uwzględnił dobrą współpracę administratora z organem nadzorczym.

W ocenie Prezesa UODO nałożona kara będzie skuteczna i spowoduje wdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych, Dostateczny stopień bezpieczeństwa w przyszłości zapewni przetwarzanym danym mniejsze ryzyko naruszenia praw i wolności osób, których dane dotyczą.

Celem przypomnienia – RODO wyróżnia dwa przedziały kar pieniężnych:

do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego;

do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r., poz. 1781) przewiduje jednak mniejsze kary dla podmiotów sektora finansów publicznych:

jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz. U. z 2021 r., poz. 305), instytuty badawcze i Narodowy Bank Polski – w wysokości do 100 tys. zł (tj. np. szkoły, uczelnie, szpitale, ZUS, gminy, NFZ, sądy);

jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych – w wysokości do 10 tys. zł (tj. np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki).