UODO ukarało Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra administracyjną karą pieniężną w wysokości ponad 13 tys. złotych za niezgłoszenie o organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą. Co więcej, zgodnie z nakazem UODO, Fundacja ma 3 dni od doręczenia decyzji na zawiadomienie osób, których dane dotyczą, o zaistniałym naruszeniu.
Zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA, polegające na utracie danych osobowych wielu osób, na skutek kradzieży teczek zawierających dane osobowe beneficjentów, wpłynęło do Urzędu Ochrony Danych Osobowych jesienią 2020 roku.
UODO zwrócił się do Fundacji, by wskazała, czy naruszenie związane z utratą danych osobowych zostało zgłoszone organowi nadzorczemu. Fundacja odpowiedziała, że incydent nie został zgłoszony. Dokonana przez nią analiza naruszenia wykazała niski jego poziom, w związku z czym podmiot uznał, że nie doszło do naruszenia, które skutkowałoby koniecznością zawiadomienia organu nadzorczego. Jak później ustalono, naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała dane takie jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Co więcej, w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL. Szczególne kategorie danych osobowych nie były przetwarzane.
Na skutek braku zgłoszenia naruszenia, UODO wszczął wobec Fundacji postępowanie administracyjne. Powołując się na przepisy RODO, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu. Jeżeli mamy do czynienia z wysokim ryzykiem dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.
Istotny dla sprawy jest fakt, że Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, przez co oszacowane przez nią ryzyko naruszenia mogło być niewłaściwe.
Osoby, których dane dotyczyły, nie mając wiedzy o naruszeniu, nie miały możliwości przeciwdziałania potencjalnym szkodom. W toku postępowania stwierdzono, że utracona dokumentacja nie podlegała odtworzeniu. Jeżeli więc Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.
Zastosowana administracyjna kara pieniężna, w ocenie UODO, jest skuteczna, proporcjonalna i odstraszająca, a więc spełnia swoją funkcję.
