Zgodnie z art. 33 ust. 1 RODO każdy administrator w przypadku wystąpienia naruszenia ochrony danych osobowych jest zobowiązany bez zbędnej zwłoki, nie później niż w terminie 72 godzin od jego stwierdzenia zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
W praktyce najwięcej wątpliwości sprawia właściwe ustalenie wspomnianego wyżej „małego prawdopodobieństwa”, które zwalnia z obowiązku dokonania zgłoszenia. Organy nadzorcze podchodzą do tej kwestii bardzo restrykcyjnie. Niejednokrotnie zdarza się, że pomimo przeprowadzenia przez administratora analizy ryzyka i ustalenia niskiego ryzyka, Urząd Ochrony Danych Osobowych stwierdza, że administrator powinien dokonać zgłoszenia. Przeprowadzenie takiej analizy, w szczególności w sposób niewłaściwy, nie zwalnia zatem administratora od odpowiedzialności (najczęściej w postaci wysokich kar pieniężnych).
Powyższe potwierdza najnowszy wpis na portalu Urzędu Ochrony Danych Osobowych – 23 listopada br. UODO poinformował o nałożeniu kolejnej administracyjnej kary pieniężnej za niezgłoszenie naruszenia ochrony danych osobowych.
Powodem nałożenia kary pieniężnej w wysokości ponad 100 tys. złotych było niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. UODO ustaliło, że osoba trzecia, jako nieuprawniony odbiorca, otrzymała w formie załącznika do wiadomości e-mail dokument potwierdzający przyznanie odszkodowania, w którym znajdowały się dane takie jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia.
Administrator wyjaśnił, że wiadomość została omyłkowo przekazana do nieuprawnionego adresata „w wyniku błędu ludzkiego”. Poinformował również, że dokonał analizy ryzyka incydentu i ustalił, że zachodzi niskie ryzyko dla praw i wolności osoby, której dane zostały naruszone. Z tego też względu Administrator jedynie odnotował incydent w wewnętrznym systemie, nie poinformował jednak o tym zdarzeniu UODO.
Uzasadniając nałożenie kary pieniężnej organ wziął pod uwagę m.in. długi czas trwania naruszenia, umyślność naruszenia, stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu toczącym się wobec spółki, niezadowalający poziom współpracy z organem nadzorczym. UODO podkreślił, że przy dokonywaniu oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zgłoszenie naruszenia, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Organ przypomniał również, że zgłoszenie przez administratora naruszenia ochrony danych osobowych, nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Samo bowiem ryzyko zmaterializowania się takiego naruszenia uzasadnia zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. Organ nadto podkreślił, że zgłoszenie naruszenia to bardzo ważne narzędzie weryfikacji, pozwalające ustalić czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia. Zgłoszenie ma służyć przede wszystkim interesom osoby, której dane zostały naruszone, nie Administratora.
To już kolejna tego rodzaju kara nałożona na administratora z powodu braku zgłoszenia incydentu naruszenia ochrony danych osobowych do UODO.
Warto zatem pamiętać, że każdy przypadek naruszenia ochrony danych osobowych wymaga dokładnej i szczegółowej analizy pod kątem potencjalnego zagrożenia dla podmiotu danych. Mniej istotny jest tutaj interes samego administratora.
