W dniu 17 sierpnia 2023 r. Sejm uchwalił ustawę o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw (dalej: „Ustawa”). Zasadniczo przedmiotem rzeczonej ustawy jest wprowadzenie z dniem 1 stycznia 2024 r. zakazu sprzedaży napojów energetyzujących (napojów z dodatkiem kofeiny lub tauryny) osobom poniżej 18 roku życia. Jednakże, w powyżej wskazanym akcie prawnym, znalazły się także przepisy nowelizujące ustawę o sporcie, ustawę – Prawo oświatowe oraz ustawę o systemie informacji oświatowej, które stworzyły podstawy prawne do funkcjonowania prowadzonej przez ministra właściwego ds. kultury fizycznej i sportu ewidencji „Sportowe talenty”, a w szkołach wprowadziły obowiązkowe testy sprawnościowe. Od początku: proces […]
Odpowiedzialność za zagubioną przesyłkę
26 lipca 2022 | Paulina Kużdowicz
Kto odpowiada za zaginioną przesyłkę? Jakiś czas temu nad takim pytaniem pochylił się Prezes Urzędu Ochrony Danych Osobowych w związku z zaginioną przesyłką. Nadawca nie zgodził się jednak z rozstrzygnięciem i sprawę skierował na drogę sądową. Co stwierdził Wojewódzki Sąd Administracyjny?
Dlaczego nałożono karę?
Czasem spotykamy się w naszej praktyce z przekonaniem, że jeżeli incydentu nie zgłosi się do Urzędu to sprawa nie ujrzy światła dziennego i „nic się nie stanie”. Niejednokrotnie okazuje się jednak, że zgłoszenie może być dla korzystne, ponieważ sposób, w jaki organ nadzorczy dowiaduje się o naruszeniu może stanowić istotny czynnik mający wpływ na wysokość potencjalnej kary administracyjnej. W omawianej sprawie o zdarzeniu PUODO dowiedział się na skutek skargi złożonej przez osobę której dotyczyło naruszenie. Jak bowiem twierdził bank uznano, że ryzyko negatywnych konsekwencji dla osób, których dane dotyczyły było średnie. Stanowiska tego nie podzielił organ uznając, że ryzyko to było wysokie i w konsekwencji na bank nałożona została administracyjne kara pieniężna. Uzasadnieniem zastosowania kary było również niepełne poinformowanie osób, których dane dotyczyły o zdarzeniu. Łącznie wyniosła ona 363.832 zł. W ramach wydanej decyzji, bankowi nakazano także udzielenie osobom objętym naruszeniem pełnych informacji o zdarzeniu.[1]
Kiedy administrator danych ma obowiązek dokonania zgłoszenia?
Co do zasady, należy dokonywać zgłoszeń naruszeń ochrony danych do PUODO. Obowiązku takiego nie ma jeżeli jest mało prawdopodobne, by dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator ma 72 godziny na dokonanie zgłoszenia od stwierdzenia naruszenia(a więc nie koniecznie od jego wystąpienia). Zdarza się jednak, że z różnych powodów czas ten okazuje się zbyt krótki. W wypadku niedochowania tego terminu, należy do dokonanego zgłoszenia dołączyć wyjaśnienie opóźnienia. Co więcej, jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie, jednak bez zbędnej zwłoki.
Jeżeli ryzyko naruszenia praw i wolności osoby fizycznej zostanie ocenione jako wysokie, o naruszeniu należy poinformować także osoby, których dane dotyczą. Zawiadomienia należy dokonać bez zbędnej zwłoki.
Co stwierdzono w wyroku WSA?
Sąd doszedł do wniosku, że o naruszeniu ochrony danych osobowych możemy mówić nie tylko gdy wiemy, że osoba postronna zapoznała się z danymi, ale również gdy istnieje ryzyko wystąpienia takiego zdarzenia (co stanowi podzielenie poglądów wyrażonych przez PUODO w decyzji nakładającej karę na bank)[2]. Niewątpliwie w przypadku zagubionej przesyłki takiego ryzyka nie sposób wykluczyć. Zdarzenie dotyczące utraty danych takich jak m.in.: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banków, uznano na tyle istotne, że wymagało ono zgłoszenia do PUODO zgodnie z przepisami RODO.
Rozstrzygnięto również kwestię tego, kto powinien dokonać takiego zgłoszenia. Obowiązek ten ciąży na administratorze, a więc podmiocie określającym sposoby i cele przetwarzania danych osobowych. Sąd uznał, że w tej sprawie administratorem danych osobowych zawartych w przesyłce był bank, bowiem to on wiedział jakie dane znajdują się w przesyłce oraz decydował o celach i sposobach ich przetwarzania. Warto przy tym dodać, że nie dotyczy to danych zawartych na przesyłkach, tj. danych nadawcy i odbiorcy. Zgodnie z wydanym przez sąd rozstrzygnięciem, co do tych danych administratorami są bowiem podmioty świadczące usługi kurierskie.
Podsumowanie
Po raz kolejny decyzja PUODO potwierdziła, że warto współpracować z organem. Jeżeli zatem nawet dojdzie do naruszenia ochrony danych osobowych należy niezwłocznie nie tylko podjąć kroki aby zminimalizować skutki oraz potencjalne ryzyko powtórzenia się zdarzenia, ale również działania w celu spełnienia obowiązków wynikających z RODO, w szczególności dokonać zgłoszenia do organu oraz powiadomić osoby których naruszenie dotyczy.
[1] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 14 października 2021 r., DKN.5131.16.2021.
[2] Wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21).
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.