Irlandzki organ właściwy ds. ochrony danych osobowych (The Data Protection Commission) nałożył karę pieniężną w wysokości aż 75 000 euro (ok. 330 000 zł) na Tuslę, tj. irlandzką państwową Agencję ds. Dzieci i Rodziny. Regulator zarzucił ukaranemu podmiotowi udostępnienie danych osobowych dzieci na rzecz osób nieuprawnionych. Co ciekawe, jest to pierwsza kara nałożona przez irlandzki organ w związku z naruszeniem przepisów RODO, po dwóch latach ich obowiązywania w tym kraju. Dość zaskakujące i nietypowe na tle innych organów nadzorczych w UE jest to, że organ w pierwszej kolejności postanowił ukarać podmiot publiczny.
Trzy podobne naruszenia
W toku postępowania wyjaśniającego organ ustalił, że ukarany podmiot udostępnił dane osobowe swoich podopiecznych na rzecz osób nieuprawnionych w aż trzech przypadkach. Naruszenie to – ze względu na swój charakter oraz zakres działalności tego podmiotu – wydaje się być bardzo poważne. W jednym z tych przypadków Agencja przekazała dane osobowe dziecka oraz jego matki na rzecz domniemanego sprawcy przemocy. Zakres udostępnionych danych obejmował dane kontaktowe oraz informacje o miejscu ich pobytu. W dwóch pozostałych – analogicznych – przypadkach, Agencja przekazała dane osobowe nieletnich przebywających w rodzinie zastępczej na rzecz spokrewnionych z nimi osób. Co zadziwiające, w jednym z tych przypadków dane osobowe zostały udostępnione na rzecz – przebywającego w zakładzie karnym – ojca jednego z tych dzieci.
Zgodnie z prawem krajowym obowiązującym w Irlandii, organ nadzorczy przekazał teraz tę sprawę do sądu krajowego, celem potwierdzenia nałożonej przez niego kary.
Agencja przyznaje się do winy
Nałożona kara została przyjęta przez ukarany podmiot z pełnym zrozumieniem. Przedstawiciel Agencji wskazał wprost, że nie kwestionuje ona stwierdzonych naruszeń i w pełni zaakceptuje rozstrzygnięcie sądu w tym zakresie. W jego ocenie, Agencja zdaje sobie sprawę z odpowiedzialności, która na niej ciąży w związku z bardzo wrażliwym charakterem danych osobowych, które są przez nią przetwarzane każdego dnia. Podkreślił on także, że Agencja w pełni współpracowała z organem nadzorczym na etapie postępowania wyjaśniającego, począwszy od momentu zgłoszenia naruszenia ochrony danych.
Co ciekawe, Agencja poinformowała opinię publiczną, że organ nadzorczy aktualnie prowadzi postępowanie wyjaśniające w sprawie dwóch kolejnych naruszeń o podobnych charakterze. Szczegóły tego postępowania nie zostały jednak ujawnione.
Kara dla organu publicznego
Zgodnie z motywem 150 RODO, państwa członkowskie powinny określić, czy i w jakim zakresie organy publiczne powinny podlegać administracyjnym karom pieniężnym. Co ciekawe, zgodnie z prawem irlandzkim górny limit kary, która może zostać nałożona na taki organ, wynosi aż 1 milion euro (ok. 4 400 000 zł). Dla porównania, zgodnie z polską ustawą o ochronie danych osobowych limit ten wynosi jedynie 100 000 zł.
Przypominamy, że pierwszym organem publicznym ukaranym przez Urząd Ochrony Danych Osobowych był Burmistrza Aleksandrowa Kujawskiego. Pisaliśmy o tym tu: https://gdpr.pl/analiza-decyzji-prezesa-uodo-nakladajacej-na-burmistrza-aleksandrowa-kujawskiego-kare-w-wysokosci-40-000-zl W październiku 2019 r. UODO nałożył na niego karę pieniężną w wysokości 40 000 zł w związku z licznymi naruszeniami przepisów RODO.
Źródła:
https://uodo.gov.pl/decyzje/ZSPU.421.3.2019
Polecamy także:
Rola agencji zatrudnienia w procesie przetwarzania danych osobowych
Pierwsza kara za naruszenie przepisów RODO!
Kolejna kara irlandzkiego regulatora
Czwarta kara Prezesa UODO nałożona