Podstawa prawna naruszenia

Art. 58 ust. 1 lit. a), lit. e) RODO.

Niewystarczająca współpraca z organem nadzorczym.

Przyczyna naruszenia

Przyczyną naruszenia był brak współpracy Pan K. S. prowadzącego działalność gospodarczą z Prezesem Urzędu Ochrony Danych Osobowych, polegający na nieudzieleniu odpowiedzi na wielokrotne wezwania do przekazania informacji i dokumentów. Administrator nie zareagował na skutecznie doręczaną korespondencję organu nadzorczego, uniemożliwiając przeprowadzenie postępowania wyjaśniającego.

Opis wydarzeń

1. Uzyskanie informacji o możliwym naruszeniu ochrony danych osobowych: Prezes UODO powziął informację o potencjalnym naruszeniu ochrony danych osobowych pacjentów, polegającym na przewożeniu dokumentacji medycznej zawierającej dane szczególnej kategorii w niezabezpieczonym pojeździe, co mogło doprowadzić do dostępu osób trzecich do tych danych.

2. Wszczęcie postępowania wyjaśniającego: W związku z powyższym Prezes UODO wszczął postępowanie administracyjne mające na celu ustalenie okoliczności zdarzenia, zakresu przetwarzanych danych oraz zastosowanych przez administratora środków technicznych i organizacyjnych.

3. Kierowanie wezwań do administratora: W toku postępowania organ nadzorczy wielokrotnie wzywał administratora do przedstawienia wyjaśnień, dokumentacji oraz informacji niezbędnych do realizacji jego ustawowych zadań, w tym do oceny, czy doszło do naruszenia ochrony danych osobowych.

4. Brak reakcji na korespondencję UODO: Pomimo skutecznego doręczania pism, administrator nie udzielił odpowiedzi na wezwania, nie przekazał żądanych dokumentów ani nie podjął kontaktu z organem nadzorczym w celu wyjaśnienia sprawy.

5. Utrudnienie realizacji zadań Prezesa UODO: Brak współpracy ze strony administratora uniemożliwił organowi nadzorczemu przeprowadzenie rzetelnej analizy zdarzenia i ocenę zgodności przetwarzania danych osobowych z przepisami RODO.

6. Rozszerzenie zakresu postępowania: Z uwagi na powtarzające się zaniechania administratora, Prezes UODO wszczął odrębne postępowanie administracyjne dotyczące naruszenia obowiązku współdziałania z organem nadzorczym.

7. Stwierdzenie naruszenia i nałożenie kary: Prezes UODO uznał, że administrator naruszył art. 58 ust. 1 lit. a oraz lit. e RODO i nałożył administracyjną karę pieniężną w wysokości 12 964 zł, wskazując, że brak współpracy z organem nadzorczym stanowi samodzielne i poważne naruszenie przepisów o ochronie danych osobowych.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Zapewnienie terminowej i pełnej współpracy z Prezesem UODO: Każde wezwanie organu nadzorczego powinno być traktowane jako obowiązek prawny, a nie element fakultatywny.

2. Wdrożenie procedury obsługi postępowań prowadzonych przez UODO: Należy określić sposób odbioru korespondencji, analizowania żądań oraz udzielania odpowiedzi w ustawowych terminach.

3. Wyznaczenie odpowiedzialności za sprawy z zakresu ochrony danych: Nawet w jednoosobowej działalności konieczne jest przypisanie odpowiedzialności za kontakt z organem nadzorczym.

4. Utrzymywanie kompletnej i aktualnej dokumentacji RODO: Dokumentacja powinna być prowadzona w sposób umożliwiający jej niezwłoczne udostępnienie na żądanie Prezesa UODO.

5. Budowanie świadomości, że brak odpowiedzi to również naruszenie RODO: Decyzja potwierdza, że ignorowanie korespondencji UODO może skutkować karą finansową niezależnie od pierwotnego zdarzenia.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu