Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 5 stycznia 2021 r., sygn. DKE.561.11.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a), art. 83 ust. 1-2 i art. 83 ust. 6 w związku z art. 58 ust. 2 lit. e) oraz lit. i) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. administracyjnej kary pieniężnej,Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając niewykonanie przez Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2020 roku, (sygn. [...])
nakłada na Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. administracyjną karę pieniężną w kwocie 85 588 PLN (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem złotych).
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych z dnia [...] lipca 2019 roku złożone przez Panią M. Z. prowadzącą działalność gospodarczą pod firmą K., (zwaną dalej również "Przedsiębiorcą").W treści zgłoszenia Przedsiębiorca poinformował, że naruszenie polegało na nieuprawnionym skopiowaniu w dniu [...] kwietnia 2019 roku danych osobowych stu pacjentów z systemu ([A]) przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Jednocześnie wskazał, że naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu. Przedsiębiorca zrezygnował z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że ocenił ryzyko naruszenia praw i wolności osób fizycznych za wysokie. W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również "Prezesem UODO"), wystąpieniem z dnia [...] sierpnia 2019 roku (sygn. [...]), skierowanym do Przedsiębiorcy na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016 r., str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r., str. 2) (zwanego dalej "Rozporządzeniem 2016/679"), wezwał go do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. W wystąpieniu tym Prezes UODO wskazał ponadto Przedsiębiorcy przykładowe ryzyka związane z tego rodzaju naruszeniem oraz przykładowe zalecenia co do środków, jakie osoby dotknięte naruszeniem mogą podjąć celem zabezpieczenia się przed negatywnymi skutkami naruszenia.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty