Chcielibyśmy podzielić się z Państwem aktualnym wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie, który rzucił nowe światło na kwestię kar za naruszenie RODO, nawet jeśli utracone dokumenty zostaną odnalezione w późniejszym czasie.
W niniejszym przypadku, Sąd potwierdził stanowisko Urzędu Ochrony Danych Osobowych (UODO), który uznał, że administrator danych ponosi odpowiedzialność za niedopełnienie obowiązków oraz niezgłoszenie ryzyka naruszenia danych osobowych, niezależnie od faktu, że dokumenty zostały później odnalezione. Decyzja ta podkreśla istotność przestrzegania przepisów RODO nawet w przypadkach niezamierzonego ujawnienia danych osobowych.
Przedstawiona sprawa, analizowana przez Wojewódzki Sąd Administracyjny w Warszawie w kwietniu 2023 roku, dotyczyła decyzji Prezesa UODO z 2022 roku, która skutkowała nałożeniem kary w wysokości blisko 16 tysięcy złotych na administratora danych. Głównym zarzutem było niewłaściwe zachowanie się administratora po utracie dokumentów, co doprowadziło do naruszenia przepisów o ochronie danych osobowych.
Wyrokiem Sądu podkreślono, że samo odnalezienie zagubionego dokumentu nie zmienia faktu naruszenia oraz obowiązku zgłoszenia tego zdarzenia. Zwrócono uwagę na istotę szybkiej reakcji w przypadku takich sytuacji. Administrator danych ma obowiązek niezwłocznie zgłosić naruszenie do organu nadzorczego, nie przekraczając 72 godzin od momentu stwierdzenia naruszenia. W sytuacjach, gdzie ryzyko naruszenia praw i wolności osób dotkniętych naruszeniem jest znaczące, administrator jest również zobowiązany do poinformowania tych osób. Ważne jest zrozumienie, że samoistne wystąpienie naruszenia RODO nie wymaga zaistnienia konkretnego incydentu.
Sąd podtrzymał argumentację UODO, że kluczowym elementem jest utrata kontroli nad dokumentem. Administrator nie był świadomy, gdzie dokument się znajduje, jego zawartość oraz to, czy nie został zniszczony. Dopiero nałożenie kary skłoniło go do zintensyfikowania wysiłków w poszukiwaniach. Ta postawa może sugerować nieodpowiednie traktowanie przepisów dotyczących ochrony danych osobowych, co podkreślił Urząd Ochrony Danych Osobowych.
W związku z powyższym, skarga administratora została oddalona jako nieuzasadniona, a wyrok Sądu Administracyjnego w Warszawie stanowi ważne ostrzeżenie dla wszystkich podmiotów przetwarzających dane osobowe. Konieczność zachowania pełnej kontroli nad danymi oraz skrupulatne przestrzeganie przepisów RODO jest kluczowym aspektem w trosce o ochronę prywatności i praw osób, których dane są przetwarzane.