WSA w sprawie naruszenia RODO

WSA w sprawie naruszenia RODO

Opublikowano uzasadnienie wyroku WSA w Warszawie z kwietnia. W wyroku uchylono nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO), na Towarzystwo Ubezpieczeń Ergo Hestia S.A., karę prawie 160 tys. zł za naruszenie ochrony danych osobowych.

Decyzja

Organ stwierdził naruszenie art. 33 ust. 1 i 34 ust. 1 RODO przez administratora, który nie powiadomił organu i osoby fizycznej o naruszeniu ochrony danych osobowych bez zbędnej zwłoki. Wymierzono za to karę prawie 160 tys. zł i zobowiązano administratora do powiadomienia o naruszeniu osobę fizyczną. Naruszenie polegało na tym, że osoba zatrudniona przez podmiot przetwarzający w imieniu Towarzystwa (administratora), wysłała omyłkowo nieszyfrowany mail z danymi. Dane te były następujące: imię, nazwisko, PESEL, miejscowość, kod pocztowy, oferta ubezpieczeniowa do niewłaściwej osoby.

Przed organem Towarzystwo argumentowało, że osoba, która w sposób nieuprawniony otrzymała dane, nie zapoznała się z nimi i dokonała ich usunięcia, co potwierdziła w pisemnym oświadczeniu.  Złożono wniosek o jej przesłuchanie. Towarzystwo uznało, że nie doszło do negatywnych skutków incydentu, więc obowiązek informacyjny po jego stronie nie powstał. Organ nie przyjął tej argumentacji. Nie uznał też za stosowne przesłuchania świadka. Wskazał, że oświadczenie świadka nie oznacza, że rzeczywiście usunął on dane, poza tym dostęp do nich mogły uzyskać osoby trzecie mające dostęp do jego skrzynki. Towarzystwo odwołało się od decyzji.

Wyrok WSA

Na skutek złożonej skargi, Sąd uchylił decyzję Prezesa. Co ciekawe, Sąd nie podzielił głównej argumentacji Towarzystwa o braku naruszenia z powodu braku wystąpienia skutku tego naruszenia w postaci zapoznania się z danymi. Sąd przychylił się do stanowiska Organu, że do naruszenia ochrony danych wystarczy samo uzyskanie dostępu do danych, a odbiorca nie musi się z nimi zapoznać. Dlatego nie analizował kwestii oświadczenia osoby, do której wysłano dane, ani jego zeznań.

Sąd przychylił się natomiast do zarzutu ewentualnego sformułowanego przez Towarzystwo. Nakładając karę Prezes UODO wskazał, że dane pozwalały na identyfikację osoby w stopniu wystarczającym do zawierania na nią umów. Na przykład – świadczeń medycznych czy wyłudzenia kredytu (chwilówki), a także zawierały informacje o stanie majątkowym tej osoby. Co więcej Organ dodał, że nieograniczony krąg osób mógł mieć dostęp do danych (hakerzy, osoby trzecie). Sąd jednak wytknął, że Prezes UODO nie wykazał w decyzji zasadności tych obaw w konkretnym stanie faktycznym. W tym także możliwości poznania stanu majątkowego osoby, a jedynie wymienił potencjalne skutki naruszenia. Nie oznacza to, że do naruszenia nie doszło, ale organ nakładając karę nie wykazał, że ryzyko naruszenia praw i wolności osób fizycznych są na tyle znaczne, że zaszła potrzeba powiadomienia osoby fizycznej, a tym samym, że nałożenie kary w tej wysokości za naruszenie art. 34 ust. 1 RODO jest zasadne.

Czy wiesz, że…

Kancelaria CZUBLUN TRĘBICKI – partner merytoryczny portalu, konsekwentnie rozwija  swój dział IT i dlatego chętnie odpowie na wszelkie pytania czytelników chmury prawnej, nie tylko z obszaru problemów prawnych w chmurze.

W tej sytuacji redaktorom strony chmuraprawna.pl nie pozostaje nic innego, jak zaprosić Państwa do zadawania pytań.

Zapraszamy, by odwiedzić stronę internetową Kancelarii, która znajduje się pod adresem: https://cztr.pl/o-nas/.

Leave a Reply