WSA uchyla karę za naruszenie RODO

Prawo nowych technologii i prawo gospodarcze Strzałka
chmuraprawna.pl, 27 czerwca 2022

Opublikowano uzasadnienie wyroku WSA w Warszawie z kwietnia. W wyroku uchylono nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO), na Towarzystwo Ubezpieczeń Ergo Hestia S.A., karę prawie 160 tys. zł za naruszenie ochrony danych osobowych.

Decyzja

Organ stwierdził naruszenie art. 33 ust. 1 i 34 ust. 1 RODO przez administratora, który nie powiadomił organu i osoby fizycznej o naruszeniu ochrony danych osobowych bez zbędnej zwłoki. Wymierzono za to karę prawie 160 tys. zł i zobowiązano administratora do powiadomienia o naruszeniu osobę fizyczną. Naruszenie polegało na tym, że osoba zatrudniona przez podmiot przetwarzający w imieniu Towarzystwa (administratora), wysłała omyłkowo nieszyfrowany mail z danymi. Dane te były następujące: imię, nazwisko, PESEL, miejscowość, kod pocztowy, oferta ubezpieczeniowa do niewłaściwej osoby.

Czytaj więcej Strzałka

Przed organem Towarzystwo argumentowało, że osoba, która w sposób nieuprawniony otrzymała dane, nie zapoznała się z nimi i dokonała ich usunięcia, co potwierdziła w pisemnym oświadczeniu.  Złożono wniosek o jej przesłuchanie. Towarzystwo uznało, że nie doszło do negatywnych skutków incydentu, więc obowiązek informacyjny po jego stronie nie powstał. Organ nie przyjął tej argumentacji. Nie uznał też za stosowne przesłuchania świadka. Wskazał, że oświadczenie świadka nie oznacza, że rzeczywiście usunął on dane, poza tym dostęp do nich mogły uzyskać osoby trzecie mające dostęp do jego skrzynki. Towarzystwo odwołało się od decyzji.

Wyrok WSA

Na skutek złożonej skargi, Sąd uchylił decyzję Prezesa. Co ciekawe, Sąd nie podzielił głównej argumentacji Towarzystwa o braku naruszenia z powodu braku wystąpienia skutku tego naruszenia w postaci zapoznania się z danymi. Sąd przychylił się do stanowiska Organu, że do naruszenia ochrony danych wystarczy samo uzyskanie dostępu do danych, a odbiorca nie musi się z nimi zapoznać. Dlatego nie analizował kwestii oświadczenia osoby, do której wysłano dane, ani jego zeznań.

Sąd przychylił się natomiast do zarzutu ewentualnego sformułowanego przez Towarzystwo. Nakładając karę Prezes UODO wskazał, że dane pozwalały na identyfikację osoby w stopniu wystarczającym do zawierania na nią umów, m.in. świadczeń medycznych czy wyłudzenia kredytu (chwilówki), a także zawierały informacje o stanie majątkowym tej osoby. Co więcej Organ dodał, że nieograniczony krąg osób mógł mieć dostęp do danych (hakerzy, osoby trzecie). Sąd jednak wytknął, że Prezes UODO nie wykazał w decyzji zasadności tych obaw w konkretnym stanie faktycznym, w tym możliwości poznania stanu majątkowego osoby, a jedynie wymienił potencjalne skutki naruszenia. Nie oznacza to, że do naruszenia nie doszło, ale organ nakładając karę nie wykazał, że ryzyko naruszenia praw i wolności osób fizycznych są na tyle znaczne, że zaszła potrzeba powiadomienia osoby fizycznej, a tym samym, że nałożenie kary w tej wysokości za naruszenie art. 34 ust. 1 RODO jest zasadne.

Telefon Telefon Telefon Telefon

Interesują Cię najnowsze zmiany w prawie?

Dołącz do grona subskrybentów LEGAL FLASH Kancelarii CZUBLUN TRĘBICKI

LEGAL FLASH to bezpłatne źródło informacji nt. bieżących zmian w prawie, mogących mieć realny wpływ na Państwa biznes, które omawiają i komentują prawnicy z Kancelarii CZUBLUN TRĘBICKI.
Nie spamujemy, a informujemy!