Prezes Urzędu Ochrony Danych Osobowych nałożył karę na spółkę, w której przez 6 lat funkcję Inspektora Ochrony Danych pełnił prezes spółki. Informację o tym fakcie PUODO otrzymał przy okazji naruszenia ochrony danych osobowych w spółce, polegającym na wydaniu pacjentowi dokumentów innej osoby.
Mimo świadomości, że IOD powinien być niezależny od władz spółki by zagwarantować należyte wykonywanie obowiązków, spółka zdecydowała się powierzyć tę funkcję prezesowi, uznając to za “rozwiązanie optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, spółki jako administratora oraz IOD-a”. Spółka zasłaniała się przy tym art. 38 ust. 6 RODO, zgodnie z którym “Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.” Według spółki prowadzenie działalności objętej tajemnicą lekarską powoduje, że nie ma konfliktu interesów między IOD a zarządem. Ochrona dokumentacji medycznej pacjentów i ich danych jest jednym z najważniejszych obowiązków spółki, a realizuje go prezes.
PUODO nie zgodził się z tą argumentacją i nałożył na spółkę karę pieniężną, wskazując jednocześnie w uzasadnieniu, że “spółka może dbać organizacyjnie i technicznie o bezpieczeństwo danych osobowych tylko wtedy, gdy niezależny od kierownictwa IOD może informować je o problemach i wskazywać, co i jak należy poprawić.”
W wydanym 1 października 2025 r. wyroku (III OSK 1830/22) Naczelny Sąd Administracyjny potwierdził, że wysłanie niezaszyfrowanego maila z danymi osobowymi do niewłaściwego adresata może nieść za sobą ryzyko naruszenia praw lub wolności osoby której dane te dotyczą.
Sprawa dotyczyła kary nałożonej przez Prezesa UODO na Towarzystwo Ubezpieczeniowe Ergo Hestia, które po wysłaniu maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe oraz informacje finansowe do niewłaściwej osoby nie dokonało zgłoszenia o tym incydencie do UODO, a także nie powiadomiło o tym fakcie osoby dotkniętej naruszeniem. Towarzystwo odwołało się od decyzji o nałożeniu kary pieniężnej do Wojewódzkiego Sądu Administracyjnego, który uchylił decyzję PUODO wskazując, że organ nie wykazał prawdopodobieństwa wystąpienia na skutek zdarzenia negatywnych konsekwencji dla osoby, której dane wyciekły. Z wyrokiem WSA nie zgodził się Naczelny Sąd Administracyjny który uznał, że jest to poważne naruszenie ochrony danych osobowych. Ujawnienie numeru PESEL wiąże się z różnymi ryzykami (między innymi kradzieżą tożsamości), a w połączeniu z takimi danymi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania numer PESEL może być użyty do dokonania przestępstwa takiego jak np. zaciągnięcie kredytu, wyłudzenie nienależnych świadczeń czy zawarcie umowy.
