Sprawa Lex Nostra: WSA podtrzymuje karę za niezawiadomienie podmiotów danych

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra w czerwcu 2021 r. została ukarana przez Prezesa UODO za niezgłoszenie naruszenia ochrony danych do organu nadzorczego, ale też do podmiotów danych. Naruszenie, które miało miejsce w 2020 r. polegało na utracie dostępu do danych osobowych wskutek kradzieży dokumentacji 96 osób. Chodziło tu o takie dane jak:

• imię, nazwisko,

• adres do korespondencji,

• numer telefonu,

• numer PESEL (w przypadku niektórych osób).

W konsekwencji niedokonania zgłoszenia Prezes UODO wymierzył fundacji karę w wysokości 13 tys. zł. Organ nadzorczy w uzasadnieniu decyzji podkreślił, że obowiązek zawiadomienia podmiotów danych nie jest wyłączony w przypadku, gdy nie można ustalić kręgu osób, które mogą zostać poszkodowane w wyniku naruszenia.

Decyzja ta została zaskarżona przez fundację do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd jednak oddalił skargę, podtrzymując tym samym rozstrzygnięcie Prezesa UODO. W ocenie sądu administrator powinien był zawiadomić nie tylko organ nadzorczy, ale też osoby, których dotyczyło naruszenie ochrony danych.

Sąd wskazał, że w sprawie zaistniało wysokie ryzyko naruszenia praw i wolności osób fizycznych, co można było stwierdzić w oparciu o zakres danych, które uległy wyciekowi. Dane te pozwalają bowiem na łatwą identyfikację osób, których dotyczą. Zaistniałe naruszenie mogło więc prowadzić m.in. do:

• dyskryminacji,

• kradzieży,

• fałszowania tożsamości,

• strat finansowych,

• utraty dobrego imienia

u poszkodowanych.