Kolejna organizacja ukarana za niedopełnienie obowiązku zgłaszania naruszeń

W ostatnim czasie UODO wydał decyzję w sprawie nałożenia kary za stwierdzone nieprawidłowości – niedokonanie zgłoszenia o naruszeniu ochrony danych osobowych do organu nadzorczego i brak wymaganego powiadomienia dla potencjalnych poszkodowanych.

Wysoka kara dla Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra

Karę pieniężną na kwotę 13 tyś zł nałożono na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra w związku z wykryciem incydentu z jesieni 2020. Miała wówczas miejsce utrata danych osobowych wskutek kradzieży teczek zawierających dane osobowe. W ręce nieupoważnionych osób trafiły dane dotyczące beneficjentów fundacji.

Co wykryło postępowanie UODO?

Zgodnie z ustaleniami UODO naruszenie dotyczyło aż 96 osób. Złodzieje pozyskali takie kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Stwierdzono jednak, że mogli także wejść w posiadanie numerów PESEL  3-4 osób. Inne kategorie danych, w tym szczególne  nie były przetwarzane przez fundację.
Postępowanie administracyjne zostało wszczęte z uwagi na brak zgłoszenia naruszenia ochrony danych osobowych do UODO oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osób.

Organ nadzorczy ostrzega przed złymi praktykami

Organ nadzorczy uczula na fakt, iż samo potencjalne wystąpienie ryzyka dla praw lub wolności rodzi konieczność zarówno powiadomienia osób, których dana sytuacja dotyczy, jak i zgłoszenia naruszenia oficjalną drogą. Tymczasem omawiana fundacja w toku postępowania nie była w stanie nawet dokładnie wskazać kategorii danych osobowych, które utracono wraz ze skradzioną dokumentacją. Tym samym nie poddano rzetelnej analizie zaistniałej sytuacji. Nie poddano weryfikacji faktycznego zakresu danych osobowych, które zostały objęte naruszeniem. W efekcie nieprawidłowo oszacowano ryzyko i podjęto decyzje w oparciu o źle wykonaną ocenę zdarzenia.

Jakie zagrożenia spotkały beneficjentów Fundacji?

Osoby, których dane zostały przejęte przez złodziei nie mogły nawet przeciwdziałać potencjalnym szkodom – nie były świadome zaistniałej sytuacji. Tymczasem sama dokumentacja gromadzona przez Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra nie była kopiowana, ani przetwarzana elektronicznie. Nie dysponując żadnymi skanami, czy kserokopiami dokumentów nie miała ona możliwości ich odtworzyć. Z uwagi na to fundacja tłumaczyła, że nie była w stanie zidentyfikować danych osób poszkodowanych.

UODO przedstawił stanowisko, z którego wynika, że postępowanie takie jest nieprawidłowe. Gdy dochodzi do incydentu, gdzie nie można ustalić danych osób, których dotyczy naruszenie – podmiot winny jest wydać publiczny komunikat, czy też zawiadomić je w sposób ogólny.

Jak uniknąć kar za naruszenia bezpieczeństwa danych?

Co do zasady RODO wymaga, by powiadomienie zostało dokonane niezwłocznie, jeśli naruszenie dotyczy wysokiego ryzyka dla praw i wolności osób fizycznych. Jednocześnie termin na dokonanie zgłoszenia do organu nadzorczego to 72 godziny od stwierdzenia naruszenia. Niewywiązanie się z tych obowiązków może skutkować postępowaniem UODO oraz karami pieniężnymi.

Fundacja mogła uniknąć problemów wdrażając pełny system RODO wraz z procedurami zapobiegającymi tego typu incydentom oraz szkoląc swój personel z wymagań stawianych przez regulacje ochrony danych osobowych.

Więcej informacji wraz z pełną decyzją UODO:
https://uodo.gov.pl/pl/138/2118

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

, , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres e-mail.
You need to agree with the terms to proceed

Menu