Kara za niezgłoszenie naruszeń ochrony danych osobowych

Naruszenie art. 33 i 34 RODO przez prokuraturę rejonową skutkowało nałożeniem kary pieniężnej oraz obowiązkiem zawiadomienia osób dotkniętych incydentem. Prezes UODO podkreślił wagę zgłaszania naruszeń ochrony danych osobowych przez administratorów.

Tematyka: RODO, naruszenie, kara pieniężna, Prezes UODO, prokuratura rejonowa, zgłaszanie naruszeń, dane osobowe, analiza ryzyka, decyzja administracyjna

Naruszenie art. 33 i 34 RODO przez prokuraturę rejonową podstawą do nałożenia kary przez Prezesa Urzędu
Ochrony Danych Osobowych. Ma ono znaczną wagę i poważny charakter, ponieważ zgłaszanie naruszeń
ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do
realnej poprawy bezpieczeństwa przetwarzania danych osobowych.
Prezes UODO stwierdził naruszenie przez prokuraturę rejonową przepisów:
• art. 33 ust. 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1;
dalej: RODO), polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej
zwłoki;
• art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki
podmiotów danych.
Na prokuraturę rejonową została nałożona kara pieniężna w wysokości 20 000 zł oraz nakazano zawiadomić
określone osoby o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji, o których mowa
w art. 34 ust. 2 RODO.
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), wpłynęła informacja wskazująca na
możliwość wystąpienia naruszenia ochrony danych osobowych w prokuraturze rejonowej (dalej: Administrator),
polegającego na przekazaniu lokalnemu dziennikarzowi przez Administratora, w ramach odpowiedzi na wniosek
złożony w trybie ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2022 r. poz. 902) dokumentacji
z zakończonego postępowania przygotowawczego.
Jedną z osób dotkniętych naruszeniem był wójt gminy. Zakres danych udostępnionych w odpowiedzi na ww. wniosek
dotyczył także zarzucanych mu czynów, tj. podejrzenia popełnienia przestępstwa polegającego na złożeniu
w Gminnym Ośrodku Pomocy Społecznej nieprawdziwego oświadczenia o jego zarobkach i zarobkach jego żony.
Dokumenty udostępnione w ramach odpowiedzi na wniosek o udzielenie informacji publicznej nie zostały
zanonimizowane. Dziennikarz ten, niezwłocznie po otrzymaniu od Administratora kopii ww. dokumentów z akt
postępowania przygotowawczego opublikował je – anonimizując wcześniej dane osobowe – w lokalnym serwisie
internetowym.
W związku z powyższym, Prezes UODO zwrócił się do Administratora o udzielenie informacji, czy w związku z ww.
zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do
oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego
oraz osób, których dane dotyczą.
Prezes UODO nie przychylił się do stanowiska wyrażonego przez Administratora i w związku z tym, wszczął z urzędu
wobec Administratora postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych
osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których
dotyczyło naruszenie.
Jednocześnie Prezes UODO zwrócił się do Administratora o wskazanie dodatkowych informacji, jednak Administrator
nie odpowiedział na zadane pytania dotyczące zakresu danych osobowych udostępnionych nieuprawnionej osobie
oraz liczby osób, których te dane dotyczą.
Z uzasadnienia decyzji Prezesa UODO
Przedmiotem niniejszego postępowania jest naruszenie przez Administratora przepisów art. 33 ust. 1 oraz art. 34 ust.
1 i 2 RODO, w związku z przekazaniem, w ramach odpowiedzi na wniosek o udostępnienie informacji publicznej,
dokumentacji z zakończonego postępowania przygotowawczego, zawierającej niepoddane anonimizacji dane
osobowe osób fizycznych.
Z wyjaśnień Administratora wnioskować należy, iż w związku z odmową wszczęcia śledztwa przez prokuraturę
rejonową uznano, że nie doszło do naruszenia ochrony danych osobowych. Administrator nie przedstawił jednak,
pomimo wezwania organu nadzorczego, żadnej analizy w tym zakresie, a tym samym nie udokumentował, że
przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych objętych przedmiotowym naruszeniem

ochrony danych osobowych, której wynik uprawniałby go do stwierdzenia, że „w tut. Prokuraturze rozważano, czy
doszło do naruszenia ochrony danych osobowych, skutkującego koniecznością zawiadomienia Prezesa Urzędu
Ochrony Danych Osobowych oraz osób, których incydent dotyczył. Uznano, że konieczność taka nie zachodziła”.
Podkreślenia jednocześnie wymaga, że odmowa wszczęcia postępowania nie może stanowić podstawy do przyjęcia,
że w związku z ww. zdarzeniem nie doszło do naruszenia ochrony danych osobowych i zastąpić rzetelnie
przeprowadzonej analizy ryzyka praw lub wolności osób fizycznych. Ocena dokonana przez Administratora została
bowiem oparta na przepisach prawa karnego, gdy tymczasem ocena, czy wystąpiło naruszenie ochrony danych
osobowych i czy związane jest ono z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych musi być
wykonana na gruncie przepisów RODO.
Zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania,
oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 RODO, administracyjnej kary
pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.
Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na
Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a RODO stanowiący m.in., że naruszenie
obowiązków administratora, o których mowa w art. 33 i 34 RODO, podlega administracyjnej karze pieniężnej
w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego
światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności
każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 RODO (lit. a - h
oraz lit. j). Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej Prezes UODO - stosownie do
treści art. 83 ust. 2 RODO (lit. a - k) - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności
zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary
pieniężnej.
Stwierdzono w niniejszej sprawie, że naruszenie ma znaczną wagę i poważny charakter, ponieważ zgłaszanie
naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do
realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Za okoliczność obciążającą Prezes UODO
uznaje długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych
osobowych do dnia wydania niniejszej decyzji upłynęło dwadzieścia siedem miesięcy, w trakcie których ryzyko
naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby
przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia ich o naruszeniu.
Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane
dotyczą. Szczególnej ochrony danych osobowych, w tym przede wszystkim numeru PESEL, wymaga się od instytucji
zaufania publicznego, do których zalicza się niewątpliwie Administratora. Będąc tego świadomym, Administrator
podjął jednak decyzję o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób,
których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Administratora
o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie
przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych
osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć
Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę ze strony Administratora oraz jego
lekceważący stosunek do podejmowanych przez niego czynności. Ocena ta dotyczy reakcji Administratora na pisma
Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych,
czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia
ochrony danych osobowych i zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie
Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło
naruszenie) nie zostały podjęte przez Administratora nawet po wszczęciu przez Prezesa UODO postępowania
administracyjnego w sprawie. Administrator ograniczył się wyłącznie do odesłania do poprzednich jego wyjaśnień.
Dane osobowe udostępnione osobie nieuprawnionej oprócz danych w zakresie imienia i nazwiska, serii i numeru
dowodu osobistego, adresu zamieszkania, numeru ewidencyjnego PESEL, daty urodzenia, numeru telefonu,
informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa, miejscu zatrudnienia, informacji o miejscu
nauki oraz dotyczące zarzucanych czynów, obejmują także dane dotyczące szczególnych kategorii, o których mowa
w art. 9 ust. 1 RODO. Taki zakres danych udostępnionych osobie nieuprawnionej wiąże się z wysokim ryzykiem
naruszenia praw lub wolności osób fizycznych.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach
niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku
skuteczna, proporcjonalna i odstraszająca.

Komentarz
Warto zwrócić uwagę na to, że Prezes UODO negatywnie ocenił argumentacje Administratora sprowadzającą się do
tego, że odmowa wszczęcia postępowania może stanowić podstawy do przyjęcia, że w związku z ocenianym
zdarzeniem nie doszło do naruszenia ochrony danych osobowych i że odmowa ta może zastąpić rzetelnie
przeprowadzonej analizy ryzyka praw lub wolności osób fizycznych.

Decyzja Prezesa UODO z 14.3.2023 r., DKN.5131.45.2022,
.

Prezes UODO uznał długi czas trwania naruszenia oraz lekceważące podejście Administratora za okoliczności obciążające. Nałożona kara pieniężna ma funkcje skuteczną, proporcjonalną i odstraszającą.