Obowiązek zgłoszenia naruszenia ochrony danych osobowych
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, Administrator Danych Osobowych bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Prawidłowe określenie czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych oraz terminowe zgłoszenie incydentu do organu nadzoru jest jednym z najważniejszych obowiązków każdego Administratora Danych Osobowych, którego niedopełnienie może skutkować nałożeniem na niego wysokich administracyjnych kar pieniężnych.
Brak zawiadomienia może powodować negatywne skutki dla osób fizycznych
Urząd Ochrony Danych Osobowych wielokrotnie podkreślał wagę prawidłowego zgłoszenia. Brak zgłoszenia incydentu do organu nadzorczego i poinformowania osób fizycznych o naruszeniu ochrony danych osobowych odbiera im możliwość oceny incydentu i podjęcia stosownych działań mających w zamierzeniu zminimalizować potencjalne negatywne skutki. Niepoinformowany prawidłowo organ nie może natomiast podjąć odpowiedniej reakcji, w tym przeprowadzić ewentualne postępowanie wyjaśniające i zweryfikować podjęcie określonych czynności w tym działań naprawczych. Trzeba pamiętać, że braku zgłoszenia nie można uzasadniać brakiem wystąpienia negatywnych konsekwencji dla osoby fizycznej, której dane osobowe przetwarzamy, ale samej możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Organ nadzorczy może nakładać odrębne kary za różne, ale powiązane ze sobą naruszenia na ten sam podmiot
Organ nadzorczy nałożył administracyjną karę pieniężną w wysokości 60 tysięcy złotych na Głównego Geodetę Kraju. Powodem jej nałożenia był brak zgłoszenia w przewidzianym terminie zaistniałego naruszenia ochrony danych osobowych, w postaci publikacji numerów ksiąg wieczystych w GEOPORTALU, które trwało przez okres ponad 48h w kwietniu 2022 roku. Co ciekawe jest to trzecia administracyjna kara pieniężna na ten organ publiczny. Wcześniejsze dwie kary pieniężne, związane z jednym prowadzonym postępowaniem administracyjnym, nałożone w maksymalnej kwocie, w przypadku dla podmiotów publicznych (100 tysięcy złotych), wynikały z braku współpracy z organem nadzorczym w trakcie czynności kontrolnych m.in. odmówiono pracownikom UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Następnie po przeprowadzeniu postępowania nałożono karę pieniężną za udostępnienie bez podstawy prawnej w GEOPORTALU danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków (prowadzonej przez starostów). Należy pamiętać, że progi kar dla podmiotów prywatnych są znacznie wyższe, a w jednym postępowaniu administracyjnym organ nadzorczy może nałożyć odrębne administracyjne kary pieniężne za różne naruszenia przepisów.
Jak uniknąć kar
Przede wszystkim należy opracować adekwatne procedury wewnętrze oraz pamiętać o regularnych szkoleniach pracowników. W razie pytań lub wątpliwości zachęcamy do kontaktu z naszą Kancelarią. Nasi prawnicy chęcią udzielą odpowiedzi na Państwa pytania, pomogą także w opracowaniu wewnętrznych procedur regulujących postępowanie w przypadku naruszenia ochrony danych osobowych. Zapytania można kierować: info@dudkowiak.com
