Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 31 sierpnia 2022 r. oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
Do Urzędu Ochrony Danych Osobowych (UODO) jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA. W sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów.
Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło. Konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. przez organ nadzorczy administracyjnej kary pieniężnej w wysokości ponad 13 tys. zł.
Od decyzji administrator się odwołał do WSA w Warszawie, w ocenie którego skarga nie zasługuje na uwzględnienie.
Sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych. Powyższe stanowi o naruszeniu przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia. A obejmują one m.in.: dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób.
W ocenie WSA, brak takiej reakcji ze strony administratora doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia.
UODO