Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi naruszenia ochrony danych oraz niezawiadomienie o incydencie osób, których dane dotyczą.

Jesienią 2020r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów.

UODO otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim – na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego.

W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu – co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL.

UODO nie zgodził się z oceną Fundacji i wskazał, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych – konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób.

Nie bez znaczenia był też fakt, iż Fundacja nie była w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem. Brak możliwości ustalenia tożsamości poszkodowanych nie był też uzasadnieniem do nieinformowania osób, których naruszenie mogło dotknąć. PUODO wskazał, iż administrator mógł poinformować o naruszeniu np. za pośrednictwem publicznego komunikatu lub innego równoważnego środka.

Za podobne naruszenie Prezes UODO ukarał również Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. W wyniku naruszenia doszło do ujawnienia analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia wobec niewłaściwego odbiorcy. W konsekwencji ubezpieczyciel został ukarany karą pieniężną w wysokości niemal 160 tys. zł.

źródło:

strona internetowa UODO[ Decyzje  – UODO ].