Prezes UODO wezwał podmiot do przedstawienia szczegółowych informacji związanych z naruszeniem ochrony danych osobowych, w tym okoliczności naruszenia oraz kategorii danych osób, których dotyczy naruszenie.

Dla organu nadzorczego równie ważne są informacje o przyjętych środkach zabezpieczenia technicznego i organizacyjnego oraz fakt ich regularnego testowania, mierzenia i oceniania skuteczności w celu zapewnienia bezpieczeństwa danych. W tym miejscu warto przypomnieć, że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO.

Wdrożenie odpowiednich środków nie może być działaniem jednorazowym, a powinny one być na bieżąco aktualizowane. Ich zastosowanie ma na celu zapobiec niedozwolonemu lub niezgodnemu z prawem przetwarzaniu danych osobowych oraz ich przypadkowej utracie, zniszczeniu lub uszkodzeniu.

Czytaj także: Listy poparcia do KRS: co napisał Prezes UODO w swoich postanowieniach ws. postępowania wobec Kancelarii Sejmu

Celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem. Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO. Dlatego Prezes UODO może skorzystać ze środków, jakie daje mu RODO. Mogą to być np. upomnienia, ostrzeżenia, nakazy dostosowania operacji przetwarzania do przepisów o ochronie danych osobowych. Prezes UODO może też nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.

Niezależnie od wszczętego postępowania administracyjnego Prezes UODO skierował do Spółki wystąpienie o podjęcie działań mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Ze złożonego zgłoszenia naruszenia ochrony danych wynikało bowiem, że Spółka nie powiadomiła tych osób o naruszeniu.