Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

W konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały. W zawiadomieniu, miały znaleźć się takie informacje, jak:

a) opis charakteru naruszenia danych osobowych;

b) imię i nazwisko oraz dane kontaktowe do inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

Właściwe wywiązanie się z tego obowiązku pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ponieważ przedsiębiorca zignorował decyzję organu nadzorczego, UODO zdecydował o wszczęciu z urzędu postępowania w sprawie nałożenia administracyjnej kary pieniężnej. Należy nadmienić, że przedsiębiorca pomimo udzielenia mu przez Urząd szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności, nawet na etapie postępowania w sprawie nałożenia kary nie przedstawił kompletnych dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu decyzji został przez niego wykonany.

Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :

  • długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
  • umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania.

Niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczy o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych.

Organ nadzorczy odpowiada za monitorowanie i egzekwowanie przestrzegania przepisów o ochronie danych osobowych. W przypadku ich nieprzestrzegania przez administratorów, Prezes UODO może skorzystać z przysługujących mu uprawnień naprawczych. Są to m.in., uprawnienia do nakazania administratorowi zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, a także uprawnienia do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej.

Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020

Źródło: https://uodo.gov.pl/pl/138/1889