Kara pieniężna dla spółdzielni za naruszenie ochrony danych osobowych

Wysoka kara pieniężna nałożona przez Prezesa UODO na spółdzielnię mieszkaniową za naruszenie ochrony danych osobowych ma charakter represyjny i prewencyjny. Incydent ten wywołał dyskusję na temat konieczności przestrzegania przepisów dotyczących ochrony danych osobowych przez wszystkich administratorów danych.

Tematyka: kara pieniężna, Prezes UODO, spółdzielnia mieszkaniowa, naruszenie ochrony danych osobowych, represyjna funkcja kary, prewencyjna funkcja kary

Wysoka kara wymierzona przez Prezesa UODO dla spółdzielni mieszkaniowej może pełnić funkcję represyjną
i prewencyjną. Uświadomi bowiem tak ukaranemu podmiotowi, jak i innym administratorom danych, że
lekceważenie obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych
osobowych, mających na celu zapobieżenie negatywnym skutkom, często dotkliwym dla osób, których
naruszenie dotyczy jest absolutnie naganne.
Na jednej z konferencji prasowych przedstawiciele spółdzielni mieszkaniowej przedstawili informacje dotyczące sporu
między nią, a jednym z jej członków. Ponieważ mieszkaniec rzekomo prowadził względem spółdzielni negatywną
narrację w informacjach umieszczanych w lokalnych mediach i Internecie, ta postanowiła reagować na – jej zdaniem
– bezpodstawne zarzuty. Chodziło o wysokość opłat za wodę, które nie spodobały się mieszkańcowi do tego stopnia,
że zaczął on oczerniać spółdzielnię. Sęk w tym, że stawki opłat były niezależne od spółdzielni, więc ta poczuła się
niesłusznie oskarżana. Chcąc położyć kres czarnemu marketingowi zarząd spółdzielni złożył zawiadomienie
o podejrzeniu popełnienia przestępstwa przez owego członka. Kserokopię takiego dokumentu pokazano
dziennikarzom podczas wspomnianej konferencji prasowej. Sęk w tym, że na zawiadomieniu widniało imię, nazwisko,
numer PESEL oraz adres zamieszkania owego członka spółdzielni. Jeden z dziennikarzy obecnych w miejscu
zdarzenia przekazał Prezesowi UODO informację o naruszeniu ochrony danych osobowych.
Próbując wybrnąć z kłopotliwej sytuacji spółdzielnia poinformowała Prezesa UODO o zarejestrowaniu tego
wydarzenia i przeprowadzonej wewnętrznie analizie zdarzenia. W ocenie inspektora ochrony danych osobowych
ryzyko naruszenia praw lub wolności osoby, której dane ujawniono, było niskie. Przedstawiciele spółdzielni twierdzili,
że mężczyzna i tak już wcześniej udostępnił swoje dane osobowe w mediach i internecie. Ponadto powoływali się
także na rzetelność dziennikarzy obecnych na konferencji prasowej wskazując, że w obliczu prawa prasowego,
udostępnione przez nich dane będą „bezpieczne”.
Prezes UODO stwierdził jednak, że analiza dokonana przez spółdzielnię nie była wystarczająca. Ustosunkowując się
do wyjaśnień spółdzielni zauważył, iż: „w pierwszej kolejności wskazać należy, że w związku z przedmiotowym
naruszeniem ochrony danych osobowych, polegającym na udostępnieniu podmiotowi nieuprawnionemu dokumentu
zawierającego dane osobowe członkini spółdzielni mieszkaniowej, nie jest istotne to, czy osoba ta faktycznie
dokonała czynów, o których mowa w złożonym przez spółdzielnię zawiadomieniu o podejrzeniu popełnienia
przestępstwa. Nawet gdyby potwierdzono zasadność podnoszonych przez administratora zarzutów wobec tej osoby,
nie oznacza to, że jej dane osobowe nie powinny podlegać takiej samej ochronie, jak każdej innej osoby fizycznej
w podobnej sytuacji. Z późniejszych wyjaśnień spółdzielni mieszkaniowej nie wynika, że podmiot sam udostępnił
swoje dane osobowe znajdujące się w zawiadomieniu o podejrzeniu popełnienia przestępstwa, toteż nie można
przyjąć, iż okoliczność taka mogłaby być w ogóle brana pod uwagę przy ocenie prawidłowości postępowania
administratora”.
Zdaniem Prezesa UODO, wysokość kary nałożonej na spółdzielnię (51 876 zł) została określona na takim poziomie,
aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków
administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej
pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów
spółdzielni mieszkaniowej.
W ocenie Prezesa UODO, zastosowana kara pieniężna jest adekwatna ze względu na powagę stwierdzonego
naruszenia w kontekście podstawowego celu rozporządzenia 2016/679/UE – ochrony podstawowych praw i wolności
osób fizycznych, w szczególności prawa do ochrony danych osobowych, a także proporcjonalna do sytuacji
finansowej administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.
Warto podkreślić, że kwota nałożonej kary, to jedynie 0,11 % maksymalnej wysokości kary, którą Prezes UODO mógł
– stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679/UE statyczne maksimum kary (tj. 10 000 000 euro) –
nałożyć na spółdzielnię za stwierdzone w niniejszej sprawie naruszenia.
W ocenie Prezesa UODO zamieszczonej w uzasadnieniu do decyzji z 1.3.2023 r., DKN.5131.49.2021:
„administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez
spółdzielnię mieszkaniową przepisów rozporządzenia 2016/679/UE. Będzie również spełniać funkcję prewencyjną;
w ocenie Prezesa UODO wskaże bowiem zarówno spółdzielnia mieszkaniowa, jak i innym administratorom danych,
na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych
osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których
naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie”.




Decyzja Prezesa UODO z 1.3.2023 r., DKN.5131.49.2021

Prezes UODO uznał, że nałożona kara jest adekwatna do stopnia naruszenia i sytuacji finansowej spółdzielni. Decyzja ma funkcję represyjną i prewencyjną, mając na celu uświadamianie administratorów danych o konieczności przestrzegania przepisów o ochronie danych osobowych.