arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
20.07.2021

Przegląd kar nałożonych przez UODO w pierwszym półroczu 2021 roku

Agata Rowicka

Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Celem przypomnienia – RODO wyróżnia dwa przedziały kar pieniężnych:

– do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,

– do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Ustawa o ochronie danych osobowych przewiduje jednak mniejsze kary dla podmiotów sektora finansów publicznych:

– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy o finansach publicznych, instytuty badawcze i Narodowy Bank Polski – w wysokości do 100 000 złotych (tj. np. szkoły, uczelnie, szpitale, ZUS, gminy, NFZ, sądy),

– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 Ustawy o finansach publicznych – w wysokości do 10 000 złotych (tj. np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki).

Śląski Uniwersytet Medyczny

Wysokość kary: 5 500 EURO

Śląski Uniwersytet Medyczny został ukarany za naruszenie ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent.

Nieznana

Wysokość kary: 19 000 EURO

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej. Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

Enea S.A.           

Wysokość kary: 30 000 EURO

Do (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.

Anwara Sp. z.o.o.          

Wysokość kary: 4 600 EURO

Kara wymierzona została za niewywiązanie się z obowiązku współpracy z organem nadzorczym i niedostarczenie wszelkich informacji potrzebnych do realizacji zadań UODO w toku postępowania.

Krajowa Szkoła Sądownictwa i Prokuratury      

Wysokość kary: 22 200 EURO    

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.

Cyfrowy Polsat S.A.      

Wysokość kary: 245 000 EURO 

Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem.

PNP SA

Wysokość kary: 5 100 EURO

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.

Spółka Funeda Sp. z o.o. 

Wysokość kary:  5100 EURO

Spółka Funeda Sp. z o.o. naruszyła przepisy ogólnego rozporządzenia o ochronie danych (RODO), polegające na braku współpracy z Urzędu Ochrony Danych Osobowych w ramach wykonywania przez organ nadzorczy zadań.  Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.

P4

Wysokość kary: 22 222 EURO

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę administracyjną karę pieniężną za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. 

Wysokość kary: 35 555  EURO

Spółka nie zgłosiła naruszenia ochrony danych osobowych od UODO. Ponadto Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy. 

Analizując wydane przez Prezesa UODO decyzje nakładające kary pieniężne należy uznać, iż najczęściej naruszanymi przepisami RODO były te dotyczące zasad zgodności z prawem, rzetelności, przejrzystości, a także współpracy z organem nadzorczym w toku kontroli. Powtarzającym się błędem popełnianym przez administratorów było także niespełnienie obowiązku informacyjnego wobec podmiotów danych czy niewdrożenie odpowiednich środków technicznych i organizacyjnych.