Naruszenie RODO: Skutki Lekceważenia Danych Osobowych – Sąd Potwierdza Surową Decyzję
W Wojewódzkim Sądzie Administracyjnym w Warszawie w niedawno wydanym wyroku zatwierdzono stanowisko Urzędu Ochrony Danych Osobowych (UODO) dotyczące kary za naruszenie RODO, nawet jeśli zagubiony dokument zostanie odnaleziony. Właściwością było to, że administrator nie wypełnił swoich obowiązków i nie zawiadomił o ryzyku naruszenia danych osobowych, co doprowadziło do nałożenia na niego kary. Nawet pomimo późniejszego odnalezienia dokumentów, które przez pewien czas były poza kontrolą, Sąd utrzymał decyzję o karze. Sprawa ta dotyczyła wydarzenia badanego przez WSA w Warszawie w kwietniu 2023 roku. W roku 2022 Prezes UODO zadecydował o ukaraniu administratora grzywną w wysokości niemal 16 tysięcy złotych. Urząd uznał, że naruszono przepisy w związku z nieprawidłową reakcją na zagubienie dokumentów. W toku procesu wyjaśniającego ustalono, że doszło do utraty dokumentu z danymi osobowymi pracownika firmy. Administrator uznał, że choć doszło do naruszenia ochrony danych przez utratę świadectwa pracy jednego z pracowników z winy pracodawcy, nie zgłosił tego naruszenia UODO, sugerując brak zagrożenia. Urząd Ochrony Danych Osobowych nie zgodził się z taką interpretacją i nałożył karę. WSA w Warszawie musiał ostatecznie zająć się sprawą.
Naruszenie RODO: Decydująca Rola Czasu i Reakcji – Sąd i UODO Wspierają Znaczenie Powiadamiania o Zagrożeniu Danych Osobowych
Sąd poparł stanowisko UODO, podkreślając, że naruszenie ochrony danych osobowych wymaga zgłoszenia zdarzenia. W przypadku naruszenia istotny jest czas reakcji, a administrator musi powiadomić organ nadzorczy niezwłocznie, nie później niż w 72 godziny od stwierdzenia naruszenia. W przypadku istnienia ryzyka dla praw lub wolności osób, których dane dotyczą, administrator powinien również powiadomić te osoby. Istotne jest, że nie musi się wydarzyć nic konkretnego, aby doszło do naruszenia RODO. WSA podtrzymał także stanowisko UODO, które wyjaśniło, że dokument znajdował się poza kontrolą administratora, brakowało informacji na temat jego lokalizacji, zawartości, dostępu i ewentualnego zniszczenia. Dopiero kara pieniężna spowodowała wzmożone poszukiwania dokumentu. Według UODO, takie działanie może wskazywać na lekceważące podejście do przepisów o ochronie danych osobowych. W rezultacie skarga administratora została odrzucona jako bezzasadna.