Wojewódzki Sąd Administracyjny w wyroku z 26 kwietnia 2023 r. zgodził się z Urzędem Ochrony Danych Osobowych, że karę powinno się nałożyć na administratora za zaniedbanie obowiązków, gdy nie zgłosił naruszenia danych osobowych – nawet jeśli zgubione dokumenty zostały później odnalezione. Fakt pozostawania ich poza kontrolą administratora przez pewien czas jest naruszeniem obowiązków wynikających z RODO.
Okoliczności sprawy
W 2022 roku Prezes UODO podjął decyzję o nałożeniu kary pieniężnej na administratora o wartości prawie 16 tys. zł. Organ otrzymał bowiem informację o potencjalnych nieprawidłowościach związanych z przetwarzaniem danych osobowych. W toku postępowania ustalono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki. Administrator uznał, że choć zdarzyło się naruszenie ochrony danych osobowych poprzez utratę świadectwa pracy jednego z pracowników z winy pracodawcy, nie wiązało się to z ryzykiem naruszenia praw lub wolności tej osoby. Nie zgadzając się z decyzją organu nadzorczego o nałożeniu kary pieniężnej, administrator zaskarżył ją do Wojewódzkiego Sądu Administracyjnego.
Zagubienie dokumentu
WSA potwierdził, że utrata przez administratora świadectwa pracy pracownika mogła potencjalnie spowodować szkody zarówno majątkowe, jak i niemajątkowe, co skutkowało ryzykiem naruszenia praw i wolności tej osoby. W trakcie postępowania sądowego administrator wskazał, że dokument ten został odnaleziony. Jednakże, ze względu na to, że nastąpiło to już po wydaniu decyzji przez organ nadzorczy, oczywiste jest, że ten fakt nie mógł wpłynąć na wydane wcześniej przez UODO orzeczenie.
WSA potwierdził jednak stanowisko UODO wyrażone w odpowiedzi na skargę, wskazujące, że administrator faktycznie utracił kontrolę nad wspomnianym dokumentem. Nie miał zatem wiedzy o jego aktualnym położeniu, zawartości, dostępie do niego ani o ewentualnym zniszczeniu. Administrator akceptował utratę świadectwa pracy pracownika oraz konsekwencje związane z naruszeniem ochrony danych. Dopiero nałożenie administracyjnej kary pieniężnej spowodowało, że podjęto bardziej intensywne wysiłki w celu odnalezienia dokumentu. UODO uznało, że takie działanie może wskazywać na lekceważący stosunek do przepisów dotyczących ochrony danych osobowych.
Dostałeś wezwanie od Prezesa UODO i nie wiesz co z nim zrobić?
Skontaktuj się z Omni Modo!
Wszelkie informacje znajdują się tutaj
Szybkość zgłoszenia
W uzasadnieniu wyroku (sygn. akt II SA/Wa 127/22) podkreślono, że naruszenie ochrony danych osobowych stanowi podstawę do zgłoszenia takiego faktu organowi nadzorczemu. Kluczową rolę odgrywa tu szybka reakcja. Administrator jest zobowiązany do niezwłocznego zgłoszenia naruszenia organowi nadzorczemu, jednak nie później niż w terminie 72 godzin od momentu jego stwierdzenia. Jeśli istnieje wysokie ryzyko dla praw lub wolności osób, których dane zostały naruszone, administrator powinien także powiadomić te osoby o zdarzeniu. Warto zauważyć, że do wystąpienia naruszenia w myśl RODO nie jest konieczne zaistnienie konkretnego zagrożenia. Sąd zaakcentował, że konsekwencje wynikające z zaistniałego zdarzenia nie muszą faktycznie wystąpić. Samo istnienie ryzyka naruszenia praw lub wolności osób, jest wystarczające do zgłoszenia tego naruszenia organowi nadzorczemu.
Brak wiedzy, gdzie mogło się znajdować świadectwo pracy, wyklucza przyjęcie, iż nie zachodziło ryzyko dla praw lub wolności osoby fizycznej.
Interesujące wydaje się stanowisko UODO i WSA, zgodnie z którym utrata kontroli nad danymi osobowymi (nawet chwilowa) stanowi ryzyko dla praw i wolności osoby, której dane dotyczą. Czy oznacza to, że każda sytuacja, w której roztrzepany pracownik zgubi na chwilę dokument z danymi osobowymi, jest naruszeniem ochrony danych, które musimy zgłosić organowi nadzorczemu? Odpowiedź na to pytanie wymaga odrębnej analizy każdego przypadku m.in. zakresu danych, kategorii osób i ryzyka naruszenia ich praw i wolności.
Źródło:
https://uodo.gov.pl/pl/138/2804