Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości nieco ponad 1,5 tys. zł na wspólnotę mieszkaniową. Decyzja ta została podjęta na skutek kilku uchybień w działalności administratora, które zostały zidentyfikowane w ramach prowadzonego postępowania.
Pierwszym z zarzutów wobec wspólnoty było niezawiadomienie organu nadzorczego o wystąpieniu naruszenia ochrony danych. W wyniku kradzieży dokumentów, w tym kopii aktu notarialnego, którego oryginał znajdował się u zarządcy, doszło do niego. W tym przypadku administrator nie tylko nie zgłosił faktu naruszenia ochrony danych osobowych, ale także nie zawiadomił o tym naruszeniu osób, których dane dotyczą. W ocenie Urzędu Ochrony Danych Osobowych takie postępowanie stanowiło wyraźne naruszenie praw i wolności osób fizycznych, których dane przetwarzano bez ich zgody. W tym przypadku warto zaznaczyć, że fakt wystąpienia naruszenia ochrony danych osobowych obowiązuje administratora do dokonania odpowiednich czynności. Na mocy prawa, administrator ma obowiązek zgłosić je organowi nadzorczemu nie później niż w terminie 72 godzin od jego stwierdzenia. Jednakże, w sytuacji wystąpienia incydentu bezpieczeństwa, zidentyfikowanego jako naruszenie ochrony danych osobowych, administrator może się od tego obowiązku uwolnić, jeżeli zgodnie z zasadą rozliczalności wykaże, że ryzyko dla praw lub wolności osób fizycznych nie jest wyższe niż znikome. W niniejszej sprawie ryzyko wystąpienia negatywnych konsekwencji dla członków wspólnoty było wyższe niż znikome, dlatego też administrator miał obowiązek dokonania zgłoszenia naruszenia organowi nadzorczemu.
Drugim zarzutem wobec wspólnoty było niezawiadomienie o naruszeniu osób, których dane dotyczą. W tym przypadku wspólnota nie tylko nie zgłosiła faktu naruszenia ochrony danych osobowych wszystkich swoich członków, ale także odstąpiła od zawiadomienia dwóch osób, których dane przetwarzane były na skradzionej kserokopii aktu notarialnego. W ten sposób w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom, które mogą się względem nich zmaterializować. Według organu nadzorczego, takie postępowanie jest nie do zaakceptowania i stanowiło wyraźne naruszenie praw i wolności osób fizycznych.
Pełna treść artykułu na stronie: https://uodo.gov.pl/pl/138/2656
- 25% firm nie dba o szkolenia z ochrony danych osobowych - 15 października 2024
- Korzystanie z kamer nasobnych przez kontrolerów biletów, a obowiązek informacyjny - 8 października 2024
- Certyfikat kwalifikowanego podpisu elektronicznego nie powinien ujawniać numeru PESEL - 4 października 2024