Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 3 czerwca 2020 r., sygn. DKE.561.2.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust. 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 58 ust. 1 lit. e) w związku z art. 83 ust. 1-3 oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł. administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł., przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do oceny naruszenia ochrony danych osobowychna podstawie art. 34 ust. 1 i 2 Rozporządzenia 2016/679 zgłoszonego przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł.,
nakłada na Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] w Ł. administracyjną karę pieniężną w kwocie 5.000 PLN (słownie: pięć tysięcy złotych), co stanowi równowartość 1.168,39 EUR, według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2020 r.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych […] czerwca 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Panią A. T. prowadzącą działalność gospodarczą pod nazwą […] ze stałym miejscem wykonywania działalności w Ł. (zwaną dalej także: „Przedsiębiorcą”). Naruszenie ochrony danych osobowych polegało na utracie przez Przedsiębiorcę dostępu do danych osobowych przechowywanych w siedzibie prowadzonej przez niego placówki tj. Niepublicznego Żłobka i Przedszkola […], mieszczącego się w Ł. Naruszenie nastąpiło na skutek podjęcia bezprawnych w ocenie Przedsiębiorcy działań przez podmiot zewnętrzny, tj. wtargnięcia osób działających w imieniu podmiotu G. Spółka z ograniczoną odpowiedzialnością" Spółka Komandytowa z siedzibą w R. (dalej także: „Spółka”), do placówki podczas występu dzieci dla rodziców. Osoby te, rozdając ulotki o rzekomym zadłużeniu Przedsiębiorcy, informowały zgromadzonych o zamknięciu placówki i uruchomieniu w tym miejscu nowej. Spółka w nieznanym terminie wymieniła w lokalu wszystkie zamki, w związku z czym Przedsiębiorca nie mógł otworzyć ww. placówki. W środku było zamknięte wyposażenie przedszkola, w tym komputery i dokumentacja zawierająca dane osobowe pracowników, dzieci uczęszczających do przedszkola i żłobka oraz ich opiekunów prawnych. Przedsiębiorca wskazał, że naruszenie dotyczyło około 200 osób a zakres danych osobowych ww. osób obejmował: imiona i nazwiska, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, serię i numer dowodu osobistego, numer telefonu. W ocenie Przedsiębiorcy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym 120 osób (wszyscy opiekunowie prawni dzieci i pracownicy) zostało zawiadomionych telefonicznie lub osobiście o naruszeniu.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty