Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.
W konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały. W zawiadomieniu, miały znaleźć się takie informacje, jak:
a) opis charakteru naruszenia danych osobowych;
b) imię i nazwisko oraz dane kontaktowe do inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.
Właściwe wywiązanie się z tego obowiązku pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
Ponieważ przedsiębiorca zignorował decyzję organu nadzorczego, UODO zdecydował o wszczęciu z urzędu postępowania w sprawie nałożenia administracyjnej kary pieniężnej. Należy nadmienić, że przedsiębiorca pomimo udzielenia mu przez Urząd szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności, nawet na etapie postępowania w sprawie nałożenia kary nie przedstawił kompletnych dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu decyzji został przez niego wykonany.
Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :
Niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczy o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych.
Organ nadzorczy odpowiada za monitorowanie i egzekwowanie przestrzegania przepisów o ochronie danych osobowych. W przypadku ich nieprzestrzegania przez administratorów, Prezes UODO może skorzystać z przysługujących mu uprawnień naprawczych. Są to m.in., uprawnienia do nakazania administratorowi zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, a także uprawnienia do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej.
Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020
Źródło: https://uodo.gov.pl/pl/138/1889
* Pola wymagane
Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.