Słona kara za bagatelizowanie obowiązku zawiadomienia o wycieku danych z kliniki

Taki morał płynie z jednego z najnowszych wyroków Naczelnego Sądu Administracyjnego (NSA). 

O tym, jak może skończyć się bagatelizowanie zaleceń prezesa Urzędu Ochrony Danych Osobowych (UODO) przekonała się właścicielka kliniki stomatologiczno-ortodontycznej, która poniekąd sama padła ofiarą nieuczciwego pracownika. Ortodontka w lipcu 2019 r. sama poinformowała UODO, że w jej klinice doszło do naruszenia. Odkryła bowiem, że współpracujący z nią lekarz przed odejściem z pracy bezprawnie skopiował z systemu przychodni dane osobowe pacjentów, żeby wykorzystać je do marketingu własnych usług. Wyjaśniła jednak, że zrezygnowała z zawiadomienia o tym osób, których dane zostały „wykradzione”. Choć przyznała też, że ryzyko naruszenia ich praw i wolności ocenia jako wysokie.

Czy administrator musi informować o wycieku danych z jego bazy? 

Prezes UODO na takie załatwienie sprawy wycieku danych pacjentów zielonego światła nie dał. W sierpniu 2019 r. wezwał właścicielkę kliniki do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń co do zminimalizowania potencjalnych negatywnych skutków feralnego zdarzenia. Jednocześnie wskazał przykładowe ryzyka związane z tego rodzaju naruszeniem oraz zalecenia co do środków, jakie osoby nim dotknięte mogą podjąć celem zabezpieczenia się przed negatywnymi skutkami.

Gdy kobieta nie zareagowała, UODO wszczął oficjalne postępowanie o niezawiadomienie o naruszeniu ochrony danych osobowych. A potem już decyzją nakazał zawiadomienie osób, których dane dotyczą. Dał na to trzy dni od uprawomocnienia się decyzji i wyraźnie wskazał co powinno się znaleźć w pismach do pacjentów, których dane wyciekły. Na tym się nie skończyło, bo po uprawomocnieniu się zalecenia urzędnicy postanowili sprawdzić, czy zostały wykonane. Wezwali do złożenia wyjaśnień i pouczyli wyraźnie, że za nieprzestrzeganie nakazu może skutkować karą pieniężną, zgodnie z art. 83 ust. 6 RODO.

Czytaj więcej

Dane osobowe

Słona kara za wyciek danych jednej osoby. Ważny wyrok NSA

Wojewódzki Sąd Administracyjnego w Warszawie jeszcze raz musi się zająć sprawą słonej kary dla ub...

Tym razem reakcja była, ale minimalna. Wezwana nie przesłała żądanych kopii powiadomień, a jedynie poinformowała organ nadzorczy, że niestety mimo chęci nie była w stanie stworzyć listy pacjentów objętych wyciekiem, bo nie wiadomo które dane zebrał lekarz. Obecnie w jej placówkach leczy się ponad 35 tysięcy osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest niewykonalne.

To nie przekonało prezesa UODO. Najpierw sięgnął po upomnienie i dalej żądał wykonania nakazu. Gdy w odpowiedzi dostał kopie tylko dziesięciu przesłanych listem poleconym zawiadomień, ale nie w pełni odpowiadających zaleceniom, starał się jeszcze nakłonić właścicielkę kliniki do przedstawienia wyjaśnień oraz dodatkowych dowodów. Wymiana pism i argumentów trwała jeszcze przez jakiś czas, aż wreszcie prezes UODO stracił cierpliwość. Uznał, że niezastosowanie się przez właścicielkę kliniki do jego wskazówek, a wręcz ich ignorowanie, świadczy o rażącym lekceważeniu obowiązków związanych z ochroną danych osobowych. I za niewykonanie nakazu wlepił jej prawie 86 tys. zł kary. 

Czy za niezawiadomienie poszkodowanych o wycieku danych grozi kara?

Spór trafił na wokandę, ale racji skarżącej nie przyznał ani Wojewódzki Sąd Administracyjny (WSA) w Warszawie, ani sąd drugiej instancji. Oddalając skargę kasacyjną ukaranej NSA zauważył, że przedstawiając kopię pocztowej książki nadawczej udowodniła skierowanie zawiadomień jedynie do 10 osób. I to takich, które w opinii UODO i tak nie odpowiadały wymaganiom RODO. Sąd wyjaśnił ponadto, że w sprawie nie można było wziąć pod uwagę wyjaśnień i dowodów co do zawiadomienia 37 potencjalnych poszkodowanych przedstawionych przez skarżącą już po wydaniu spornej decyzji o karze. To, że strona się zreflektowała i po jej wydaniu dopiero przedstawiła dowody, dla sprawy nie miało żadnego znaczenia. 

Czytaj więcej:

Biznes

Jak prawidłowo zabezpieczać dane osobowe i uniknąć kar?

W 2024 r. Prezes Urzędu Ochrony Danyc...

Pro

NSA przypomniał, że to administrator danych osobowych, w tym przypadku klinika, musi być w stanie wykazać przestrzeganie RODO. I to na skarżącej ciążył obowiązek udokumentowania działań zaradczych podjętych w związku z naruszeniem przetwarzanych przez siebie danych osobowych, w tym dokonania spornych zawiadomień i ich udokumentowania. Nic nie dały też tłumaczenia, że dokonanie zawiadomień potwierdza zakup 37 znaczków pocztowych. W ocenie NSA to, że ktoś kupił znaczki, nie jest żadnym argumentem. Równie dobrze może świadczyć o tym, że ktoś zbiera znaczki, może ktoś kolekcjonuje. Dowodem na wysłanie jest oczywiście potwierdzenie odbioru zawiadomień, a nie sam zakup znaczków czy informacja, że ktoś poszedł na na pocztę i je nabył. 

Sąd zauważył, że skarżąca dość nierozsądnie podchodziła do wielu prób wskazania przez UODO, co powinna zrobić w zaistniałej sytuacji wycieku danych. Urząd dawał upomnienia, czyli próbował podawać pomocną dłoń skarżącej. Tymczasem ta na początku w ogóle ignorowała wezwania i zareagowała dopiero po wydaniu decyzji o karze. A to, jak tłumaczył sędzia NSA Artur Kuś, może świadczyć wyłącznie o tym, że kara administracyjna odniosła skutek i represyjny, i odstraszający. Na przyszłość strona będzie bowiem wiedziała, że kwestie związane z ochroną danych osobowych to poważna sprawa. I że w przypadku niezawiadomienia, czy błędnego zawiadomienia osób, których dane wyciekły UODO ma możliwość wymierzenia administracyjnej kary pieniężnej. Wyrok jest prawomocny.