photo
06.07.2026

Kara za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych

Prezes UODO Mirosław Wróblewski nałożył karę finansową w wysokości 11 594 zł na administratora prowadzącego kancelarię podatkową. W sprawie tej na skutek braku odpowiednich zabezpieczeń osoba nieuprawniona przejęła konto pocztowe, na którym znajdowały się dane osobowe 111 podmiotów danych.

Administrator prowadzący kancelarię podatkową zgłosił Prezesowi UODO naruszenie ochrony danych osobowych polegające na uzyskaniu przez nieuprawniony podmiot dostępu do konta e-mail jednego z pracowników. W przejętej skrzynce e-mail przetwarzano łącznie dane osobowe ponad stu podmiotów danych – w tym klientów, ich pracowników oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego.

Przedmiotowe zgłoszenie naruszenia było impulsem do dokonania oceny realizacji przez administratora obowiązków wynikających z przepisów RODO dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania danymi w postaci elektronicznej, w tym za pośrednictwem poczty elektronicznej.

Kancelaria wyjaśniła organowi nadzorczemu, że choć osoba nieuprawniona wysłała wiadomość z przejętego konta, to nie ma dowodu, by pozyskała ona przechowywane tam dane. Prezes UODO nie zgodził się z treścią wyjaśnień złożonych przez administratora. Nie wiadomo bowiem, kiedy dokładnie skrzynka była przejęta i jak długo była wykorzystywana w sposób nieuprawniony. Pracownik kancelarii używał jej sporadycznie. Dostawca usługi hostingowej zablokował skrzynkę w związku z uruchomieniem mechanizmu zabezpieczającego przed wysyłaniem spamu. Administrator nie był w stanie ustalić okoliczności, w jakich doszło do wysyłania spamu. Nie posiadał dostępu do logów ani innych środków pozwalających ustalić, czy doszło do pobrania danych przez nieuprawniony podmiot.

Prezes UODO wskazał, że zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego
z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony, nie oznacza, że nie doszło do naruszenia ochrony danych osobowych.

Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych
i organizacyjnych. Przed stwierdzeniem naruszenia ochrony danych osobowych administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych oraz nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Zabezpieczenia nie były testowane regularnie i nie oceniano ich skuteczności.

Po ujawnieniu naruszenia ochrony danych osobowych, ale już w trakcie prowadzonego przez Prezesa UODO postępowania, administrator podjął działania mające na celu realizację wymogów wynikających z rozporządzenia 2016/679. Administrator m.in. przeprowadził analizę ryzyka, wdrożył Politykę Bezpieczeństwa Informacji oraz inne regulacje. Administrator po wystąpieniu naruszenia ochrony danych osobowych przeprowadził również audyt infrastruktury informatycznej.

Kara finansowa w wysokości 11 594 zł została nałożona przez Prezesa UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego. Sankcji administracyjnej podlega bowiem nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

DKN.5131.34.2023

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2026-07-06
Wprowadził informację:
user Edyta Madziar
date 2026-07-06 08:16:30
Ostatnio modyfikował:
user Edyta Madziar
date 2026-07-06 10:01:13