Decyzja

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanej dalej „Kpa”, w związku z art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej „ogólnym rozporządzeniem o ochronie danych” lub „RODO”, po przeprowadzeniu postępowania administracyjnego w sprawie niezawiadomienia przez Y. S.A., osoby, której dotyczy naruszenie ochrony danych osobowych, niezgodnie z  art. 34 ust. 2 RODO, Prezes Urzędu Ochrony Danych Osobowych

umarza w całości postępowanie w niniejszej sprawie.

Uzasadnienie

W dniu […] lipca 2018 r. Y. S.A., zwane dalej również „T.” lub „Y. S.A.”, złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych (data stwierdzenia: […] lipca 2018 r. godz. […]). Naruszenie polegało na przesłaniu pocztą tradycyjną dokumentacji ubezpieczeniowej, w wyniku czego dane osobowe klienta zostały udostępnione osobie nieuprawnionej. W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania, numer PESEL, numer telefonu, adres e-mail, numer rachunku bankowego, imiona rodziców, numer dowodu osobistego i termin ważności, data urodzenia, płeć, dane o stanie zdrowia w związku ze zgłoszoną szkodą, wzrost, kolor oczu, data wydania dowodu oraz numer szkody. Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia tej osoby o zdarzeniu.

W dniu […] sierpnia 2018 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24 z późn. zm.), zwanej dalej „ustawą o ochronie danych osobowych”, oraz art. 34 ust. 4 RODO, skierował do Y. S.A. wystąpienie -  w którym z uwagi na wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą  - wezwał do zawiadomienia tej osoby o naruszeniu ochrony danych osobowych i przekazania jej zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

W odpowiedzi na powyższe wystąpienie, Y. S.A. pismem z dnia […] września 2018 r. wskazała, że dokumentacja z danymi trafiła do kancelarii zajmującej się pomocą osobom poszkodowanym w wypadkach, z którą administrator współpracuje od wielu lat i ma o danym podmiocie wyrobioną bardzo dobrą opinię.

[…] lutego 2019 r. na podstawie art. 61 § 1 i 4 Kpa w związku z art. 58 ust. 2 lit. e) RODO wszczęte zostało postępowanie administracyjne w sprawie niezawiadomienia przez Y. S.A. osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO.

Następnie, pismem z dnia […] lutego 2019 r. (sygn. […]) T. poinformowało, Prezesa UODO że osoba, której dane dotyczą, została zawiadomiona korespondencyjnie o naruszeniu ochrony danych osobowych w dniu […] lutego 2019 r. T. przekazało też zanonimizowaną treść zawiadomienia, zgodnie z którym osobie, której dane dotyczą, zostały przekazane następujące informacje:

• na czym polegało naruszenie ochrony danych osobowych;
• jakie są jego możliwe negatywne konsekwencje;
• jakie środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych może zastosować osoba, której dane dotyczą;
• jakie środki zastosował administrator w celu zaradzenia naruszeniu ochrony danych osobowych;
• imię i nazwisko oraz adres e-mail inspektora ochrony danych osobowych.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Stosownie do przepisu art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika zatem, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem tego postępowania.

Mając na uwadze fakt powiadomienia przez administratora osoby, której dane dotyczą o naruszeniu ochrony danych osobowych zgodnie z art. 34 ust. 2 RODO oraz powołane wyżej uregulowania prawne stwierdzić należy, iż postępowanie w niniejszej sprawie stało się bezprzedmiotowe i w konsekwencji konieczne jest, na podstawie art. 105 § 1 Kpa, wydanie decyzji o jego umorzeniu w całości.

Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.