Sygnatura
ZWAD.405.85.2018
Decyzja UODO ZWAD.405.85.2018
Status
nonfinal
- Data publikacji
- 29 marca 2019
Treść rozstrzygnięcia
Decyzja ZWAD.405.85.2018 Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanej dalej „Kpa”, w związku z art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej „ogólnym rozporządzeniem o ochronie danych” lub „RODO”, po przeprowadzeniu postępowania administracyjnego w sprawie niezawiadomienia przez Y. S.A., osoby, której dotyczy naruszenie ochrony danych osobowych, niezgodnie z art. 34 ust. 2 RODO, Prezes Urzędu Ochrony Danych Osobowych umarza w całości postępowanie w niniejszej sprawie. Uzasadnienie W dniu (…) lipca 2018 r. Y. S.A., zwane dalej również „T.” lub „Y. S.A.”, złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych (data stwierdzenia: (…) lipca 2018 r. godz. (…)). Naruszenie polegało na przesłaniu pocztą tradycyjną dokumentacji ubezpieczeniowej, w wyniku czego dane osobowe klienta zostały udostępnione osobie nieuprawnionej. W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania, numer PESEL, numer telefonu, adres e-mail, numer rachunku bankowego, imiona rodziców, numer dowodu osobistego i termin ważności, data urodzenia, płeć, dane o stanie zdrowia w związku ze zgłoszoną szkodą, wzrost, kolor oczu, data wydania dowodu oraz numer szkody. Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia tej osoby o zdarzeniu. W dniu (…) sierpnia 2018 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24 z późn. zm.), zwanej dalej „ustawą o ochronie danych osobowych”, oraz art. 34 ust. 4 RODO, skierował do Y. S.A. wystąpienie - w którym z uwagi na wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą - wezwał do zawiadomienia tej osoby o naruszeniu ochrony danych osobowych i przekazania jej zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. W odpowiedzi na powyższe wystąpienie, Y. S.A. pismem z dnia (…) września 2018 r. wskazała, że dokumentacja z danymi trafiła do kancelarii zajmującej się pomocą osobom poszkodowanym w wypadkach, z którą administrator współpracuje od wielu lat i ma o danym podmiocie wyrobioną bardzo dobrą opinię. (…) lutego 2019 r. na podstawie art. 61 § 1 i 4 Kpa w związku z art. 58 ust. 2 lit. e) RODO wszczęte zostało postępowanie administracyjne w sprawie niezawiadomienia przez Y. S.A. osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO. Następnie, pismem z dnia (…) lutego 2019 r. (sygn. (…)) T. poinformowało, Prezesa UODO że osoba, której dane dotyczą, została zawiadomiona korespondencyjnie o naruszeniu ochrony danych osobowych w dniu (…) lutego 2019 r. T. przekazało też zanonimizowaną treść zawiadomienia, zgodnie z którym osobie, której dane dotyczą, zostały przekazane następujące informacje: – na czym polegało naruszenie ochrony danych osobowych; – jakie są jego możliwe negatywne konsekwencje; – jakie środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych może zastosować osoba, której dane dotyczą; – jakie środki zastosował administrator w celu zaradzenia naruszeniu ochrony danych osobowych; – imię i nazwisko oraz adres e-mail inspektora ochrony danych osobowych. W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje. Stosownie do przepisu art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika zatem, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem tego postępowania. Mając na uwadze fakt powiadomienia przez administratora osoby, której dane dotyczą o naruszeniu ochrony danych osobowych zgodnie z art. 34 ust. 2 RODO oraz powołane wyżej uregulowania prawne stwierdzić należy, iż postępowanie w niniejszej sprawie stało się bezprzedmiotowe i w konsekwencji konieczne jest, na podstawie art. 105 § 1 Kpa, wydanie decyzji o jego umorzeniu w całości. Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Analiza z kontekstem sprawy
Co ta decyzja oznacza dla Twojej sprawy?
Zapytaj o skutki rozstrzygnięcia, podstawę prawną albo argumenty do wykorzystania. AnyLawyer rozpocznie od tej konkretnej sprawy.
Informacje o sprawie
- Rodzaj
- decision
- Data ogłoszenia
- 11 marca 2019
- Słowa kluczowe
- umorzenie, Pozostałe, niezawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych, poinformowanie, negatywne skutki naruszenia, sektor prywatny, ubezpieczyciele, wysokie ryzyko, zdrowie, zgłaszanie naruszeń
Źródło urzędowe: Urząd Ochrony Danych Osobowych