Prezes Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) w dniu 5 stycznia 2021 r. po raz pierwszy nałożył karę za nieprzestrzeganie wydanego wcześniej nakazu. Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, zobowiązany jest do zapłaty kary finansowej w wysokości ponad 85 tys. zł.

Naruszenie ochrony danych osobowych

W lipcu 2019 roku do UODO wpłynęło zawiadomienie o naruszeniu ochrony danych osobowych w przedsiębiorstwie zajmującym się ochroną zdrowia. Naruszenie polegało na nieuprawnionym skopiowaniu danych osobowych stu pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Przedsiębiorca zrezygnował z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie.

W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r., str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r; dalej jako: „RODO”), wezwał go do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

Kolejna decyzja UODO

W związku z brakiem reakcji Przedsiębiorcy na wystąpienie UODO, Prezes urzędu wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

Decyzją administracyjną Prezes UODO nakazał Przedsiębiorcy – na podstawie art. 58 ust. 2 lit. e) Rozporządzenia 2016/679 – zawiadomienie osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna.

W celu weryfikacji, czy nałożone powyższą decyzją obowiązki zostały wykonane przez Przedsiębiorcę, Prezes UODO wszczął postępowanie sprawdzające. W pierwszej kolejności UODO wezwał Przedsiębiorcę do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, o których mowa w nakazie decyzji, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie. W odpowiedzi Przedsiębiorca nie przesłał żądanych kopii powiadomień, a jedynie pismem, wskazał, że nie  był on w stanie stworzyć listy poszkodowanych osób.

Następnie Prezes UODO skierował do Przedsiębiorcy upomnienie, o którym mowa w art. 15 § 1 ustawy z dna 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2020 r., poz. 1427 ze zm.), zawierające wezwanie Przedsiębiorcy do wykonania nakazu decyzji w terminie 7 dni i do udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania. W tym samym miesiącu pełnomocnik Przedsiębiorcy przedstawił kopie dziesięciu pism przesłanych listem poleconym. Przedstawione kopie zawiadomień, według UODO nie zawierały wszystkich informacji, do udzielenia których zobowiązany został Przedsiębiorca nakazem decyzji Prezesa UODO, tj. nie zawierały informacji dotyczących opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków. W związku z tym, Prezes UODO wezwał Przedsiębiorcę do uzupełnienia wyjaśnień oraz przedstawienia dowodów dokumentujących wykonanie decyzji.

Przedsiębiorca nie zgodził się z opinią UODO i poinformował Urząd, że według niego nie zachodzi konieczność ponownego informowania o naruszeniu pacjentów.

Postępowanie w sprawie nałożenia kary

W związku z powyższym, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e) w związku z art. 34 ust. 1 i 2 RODO.

Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :

• długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
• umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania,
• niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczące o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych.

W związku z powyższym na Przedsiębiorcę została nałożona administracyjna kara pieniężna w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.