Stan faktyczny

Spółką zawiadomiła Prezesa UODO o naruszeniach danych osobowych klientów Spółki w październiku 2020 r. oraz grudniu 2020 r. Składając ww. zawiadomienia o naruszeniu danych osobowych Spółka nie poinformowała organu nadzorczego, jakie były przyczyny opóźnienia w powiadomieniu Prezesa UODO o naruszeniach.

W związku z powyższym, Prezes UODO zwrócił się do Spółki o złożenie wyjaśnień w terminie 7 dni od dnia doręczenia pisma i dostarczenie dodatkowych informacji, m.in.: jakie były przyczyny opóźnienia w przekazaniu zgłoszenia naruszenia danych osobowych organowi nadzorczemu, tj. w jego dokonaniu po upływie 24 godzin od stwierdzenia naruszenia, który to termin wynika  z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013 z 24.6.2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.Urz. UE L z 2013 r. Nr 173, s.2; dalej: rozporządzenie 611/2013/UE).

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, Spółka poinformowała, że opóźnienie było spowodowane nieumyślnym błędem pracownika Spółki, pozbawionym złych intencji, zajmującego się wysyłką korespondencji, pracownik został pouczony o potrzebie terminowego przesyłania zgłoszeń naruszeń ochrony danych osobowych Prezesowi UODO. Pełnomocnicy Spółki wskazali m.in., że naruszenie polegające na opóźnieniu w przesłaniu zgłoszenia naruszenia ochrony danych osobowych przez Spółkę do organu nadzorczego jest znikomej wagi naruszeniem oraz, że w tej sprawie spełnione zostały ustawowe warunki odstąpienia od wymierzenia kary, ponieważ:

  1. Spółka zaprzestała naruszenia prawa (przywróciła stan zgodny z prawem),
  2. Waga naruszenia prawa w normie sankcjonowanej jest znikoma z następujących powodów:

a) uchybienie porządkowi prawnemu miało charakter incydentalny (jednorazowy),

b) przedmiotem uchybienia normie sankcjonowanej były jedynie opóźnienia w wykonaniu obowiązku notyfikacyjnego względem organu nadzorczego (zgłoszenia), co jednak nie wpłynęło na skuteczność późniejszej czynności notyfikacyjnej,

c) uchybienie normie sankcjonowanej nie wynikało z lekceważenia przez stronę porządku prawnego, ale było spowodowane tylko prostymi błędami pracowników przedsiębiorcy,

d) skala uchybień normie sankcjonowanej była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej,

e) uchybienie normie sankcjonowanej nie spowodowało jakichkolwiek negatywnych konsekwencji w obszarze dóbr chronionych przez wspomnianą normę.

Spółka na poparcie swojej tezy, iż waga naruszenia prawa była znikoma, powołała m.in. argument, że „skala uchybień normie sankcjonowanej była znikoma z punktu widzenia całościowego i terminowego wykonywania obowiązku znajdującego się w normie sankcjonowanej”. W opinii Prezesa UODO stwierdzenie, że „Pięć zgłoszeń naruszeń ochrony danych osobowych będących przedmiotem tego postępowania to jedynie 1,5% wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r.” nie może uzasadniać przyjęcia, iż nie doszło do naruszenia przepisów. Fakt, że Spółka dokonuje wielu zgłoszeń naruszeń ochrony danych osobowych, a większość z nich zgłaszana jest w przewidzianym prawem terminie, nie sanuje dokonanego przez Spółkę naruszenia prawa. Odnosząc się do argumentów Spółki zawartych w piśmie z maja 2021 r., warto wskazać, że zupełnie bez znaczenia dla oceny postępowania Spółki pozostaje przywołany przez Spółkę argument, że w roku 2020 r. kancelaria Spółki obsłużyła ok. 15 000 wychodzących rejestrowanych przesyłek. Dwie przesyłki zawierające zgłoszenia naruszeń ochrony danych będące przedmiotem tego postępowania to tylko 0,013% wszystkich wychodzących przesyłek rejestrowanych z siedziby głównej Spółki.

Ochrona danych osobowych – aktualna lista szkoleń Sprawdź

Rozstrzygnięcie Prezesa UODO

Dostawcy publicznie dostępnych usług telekomunikacyjnych, nie tylko są zobowiązani chronić dane osobowe osób korzystających z ich usług, ale także w przypadku stwierdzenia naruszenia ochrony danych osobowych zobligowani są powiadomić o tym fakcie krajowe organy nadzorcze, w Polsce – Prezesa UODO. Nadrzędnym celem każdego zgłoszenia naruszenia organowi nadzorczemu jest ochrona praw lub wolności osób fizycznych. Niezmiernie ważną kwestią w tym przypadku jest czas reakcji administratora, tj. jak najszybsze powiadomienie o naruszeniu organu nadzorczego.

W niniejszej sprawie stwierdzono naruszenie przepisów o ochronie danych osobowych – przepisów chroniących dobro o wysokiej wartości społecznej (stanowiące element konstytucyjnego prawa do prywatności) i ekonomicznej (wykorzystanie którego może wiązać się uzyskaniem dużych korzyści majątkowych). Zawiadomienia o naruszeniach danych osobowych, objęte niniejszym postępowaniem, nie były pierwszymi naruszeniami zgłoszonymi przez Spółkę Prezesowi UODO po upływie 24 godzin od ich wykrycia. Spółka został poinformowana, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie ww. terminu. Pomimo tych pism, administrator zdecydował się na dokonanie zmian w organizacji procesu wysyłki korespondencji w sprawie naruszeń danych osobowych, kierowanej do Prezesa UODO, dopiero w lutym 2021 r. – wtedy bowiem zaczęły wpływać do organu nadzorczego zgłoszenia naruszenia danych osobowych za pośrednictwem platformy ePUAP. Oznacza to w konsekwencji, że Spółka przez długi czas nie wypracowała odpowiednich mechanizmów mających na celu zapewnienie terminowego zawiadamiania o naruszeniach danych osobowych Prezesowi UODO. Zrobiła to dopiero na skutek wszczęcia postępowania w przedmiocie nałożenia na nią kary pieniężnej za dokonane naruszenie. Opisane wyżej działanie Spółki jest w ocenie Prezesa UODO naganne i świadczące o lekceważeniu wynikających z przepisów.

Naruszenie dotyczyło obowiązku Spółki wobec Prezesa UODO, a nie wobec osób, których dane dotyczą, niemniej jednak w ocenie Prezesa UODO naruszenie to obniża wysoki poziom ochrony danych osobowych klientów Spółki. Opóźnia ono bowiem reakcję Prezesa UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Takie naruszenie godzące w system ochrony danych osobowych, nie będące jednorazowym wypadkiem a stałą praktyką działania Spółki (które można określić jako działanie o dużej intensywności) zasługuje na negatywną ocenę, której wyrazem jest nałożenie na Spółkę w niniejszej sprawie kary pieniężnej. Jednocześnie Prezes UODO zwrócił uwagę na następujące okoliczności łagodzące:

  1. nieumyślność naruszenia (opóźnienia w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych) nie wynikała z istniejącego po stronie Spółki zamiaru jego dokonania, lecz z niewłaściwego zorganizowania tej procedury,
  2. okoliczność, że nie stwierdzono w następstwie naruszenia żadnych szkód po stronie osób, których dotyczyły objęte niniejszym postępowaniem naruszenia ochrony danych osobowych zgłoszone przez Spółkę z niezachowaniem terminu,
  3. okoliczność, że w trakcie niniejszego postępowania w przedmiocie nałożenia na Spółkę kary pieniężnej, Spółka dokonała w procedurze zawiadamianiu Prezesa UODO o naruszeniach danych osobowych zmian mających na celu wyeliminowanie możliwości zaistnienia w przyszłości naruszenia podlegającego ukaraniu w niniejszej sprawie.

Prezes UODO, po dokonaniu wszechstronnej analizy zebranego w trakcie prowadzonego postępowania materiału dowodowego, uwzględniając dopuszczalną wysokość kary pieniężnej, określoną w art. 210a ust. 1 pkt 2 PrTelekom, ustalił wysokość kary pieniężnej nałożonej na Spółkę na kwotę 100 000 zł. Podkreślić należy, że ustalona kwota kary pieniężnej, biorąc pod uwagę przychody Spółki, mieści się  w granicy 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym, wskazanej w ww. przepisie PrTelekom (stanowi 0,0014 % przychodów operacyjnych osiągniętych przez Spółkę w 2020 r.).

W ocenie Prezesa UODO, wysokość nałożonej kary pieniężnej odpowiada możliwościom finansowym Spółki oraz zakresowi naruszenia przepisów prawa. Nakładając powyższą karę pieniężną Prezes UODO wziął pod uwagę dotychczasową działalność Spółki, a w szczególności fakt, że Spółka nie była dotychczas karana przez Prezesa UODO. Kara pieniężna w tej wysokości jest adekwatna do naruszenia stwierdzonego w trakcie niniejszego postępowania oraz spełnia zamierzone funkcje: represyjną (kara nakładana jest za naruszenie obowiązków wynikających z przepisów prawa), prewencyjną (ma zabiegać podobnym naruszeniom w przyszłości) oraz dyscyplinującą dostawców publicznie dostępnych usług telekomunikacyjnych (ma zniechęcać ich do naruszania prawa). Kara ma bowiem stanowić  z jednej strony dolegliwość dla ukaranego podmiotu, z drugiej zaś strony ma odnosić się do jego możliwości finansowych. Warunki te zostały spełnione przy nakładaniu kary w wysokości określonej niniejszą decyzją.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności  w zakresie terminowego zawiadamiania o naruszeniach danych osobowych Prezesa UODO.

Należy podkreślić, że administratorzy i podmioty przetwarzające dane w ich imieniu są zobowiązani do sprawnego i jak najszybszego zgłaszania naruszeń do odpowiedniego organu. Błędy dokonane przez pracowników nie mogą stanowić argumentu umożliwiającego uzasadnienie opóźnienia zawiadomienia o naruszeniu danych osobowych organowi nadzorczemu. Takie działanie świadczy o nieprawidłowym zorganizowaniu procesu powiadamiania organu o naruszeniach danych osobowych.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Wypróbuj! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →