Decyzja

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), w związku z art. 58 ust. 2 lit.  e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), po przeprowadzeniu postępowania administracyjnego w sprawie nieprawidłowego zawiadomienia przez Y. S.A., osoby, której dotyczy naruszenie ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

umarza w całości postępowanie w niniejszej sprawie.

Uzasadnienie

W dniu […] września 2018 r. Inspektor Ochrony Danych Osobowych Y. S.A., zwanego dalej również „T.” lub „Y. S.A.” złożył do Prezesa Urzędu Ochrony Danych Osobowych zwanego dalej również „Prezesem UODO” zgłoszenie naruszenia ochrony danych osobowych (data stwierdzenia: […] września 2018 r.). Naruszenie polegało na wysłaniu informacji o przyznaniu świadczenia pieniężnego z ubezpieczenia na nieprawidłowy adres poczty elektronicznej, w wyniku czego dane osobowe klienta zostały udostępnione osobie nieuprawnionej. W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię i nazwisko, numer PESEL, numer rachunku bankowego, dane o wykonanych świadczeniach zdrowotnych. T. poinformowało, że zawiadomiło tę osobę o zdarzeniu, wskazując, że po naruszeniu zastosowano środki  w celu zaradzeniu naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 3 lit. b) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej ”Rozporządzeniem 2016/679”  tj., skierował do osoby, która otrzymała dane innej osoby, informację o konieczności usunięcia wiadomości elektronicznej.

W dniu […] listopada 2018 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018r. poz. 1000 z dnia 2018.05.24  z późn. zm), oraz art. 34 ust. 4 Rozporządzenia 2016/679, skierował do Y. S.A. wystąpienie, w którym wezwał do ponownego prawidłowego zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazania tej osobie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia, których nie zawarł w treści swojego powiadomienia skierowanego do osoby, której dane dotyczą.   

Na powyższe wystąpienie Y. S.A. nie udzieliło odpowiedzi w wyznaczonym  terminie.

Dnia […] lutego 2019 r. na podstawie art. 61 § 1 i 4 Kodeksu Postępowania Administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanego dalej „Kpa”, w związku z art. 58 ust. 2 lit. e) RODO wszczęte zostało postępowanie administracyjne w sprawie nieprawidłowego zawiadomienia przez Y. S.A. osoby, której dane dotyczą,  o naruszeniu ochrony danych osobowych zgodnie z art. 34 Rozporządzenia 2016/679.

Pismem z dnia […] lutego 2019 r. T. poinformowało Prezesa UODO, że osoba, której dane dotyczą, została zawiadomiona korespondencyjnie o naruszeniu ochrony danych osobowych w dniu […] lutego 2019 r. T. przekazało zanonimizowaną treść zawiadomienia, zgodnie z którym osobie, której dane dotyczą, zostały przekazane następujące informacje:

• na czym polegało naruszenie ochrony danych osobowych;
• jakie są jego możliwe negatywne konsekwencje;
• jakie środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych osobowych może zastosować osoba, której dane dotyczą;
• jakie środki zastosował administrator w celu zaradzenia naruszeniu ochrony danych osobowych;
• imię i nazwisko oraz adres e-mail inspektora ochrony danych osobowych.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Stosownie do przepisu art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika zatem, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem tego postępowania.

Mając na uwadze fakt powiadomienia przez administratora osoby, której dane dotyczą o naruszeniu ochrony danych osobowych zgodnie z art. 34 ust. 2 Rozporządzenia 2016/679 oraz powołane wyżej uregulowania prawne stwierdzić należy, iż postępowanie w niniejszej sprawie stało się bezprzedmiotowe i w konsekwencji konieczne jest, na podstawie art. 105 § 1 Kpa, wydanie decyzji o jego umorzeniu w całości.

Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak  w sentencji.  

Stronie, na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego, przysługuje prawo do złożenia wniosku o ponowne rozpatrzenie sprawy do Prezesa Urzędu Ochrony Danych Osobowych, w terminie 14 dni od daty otrzymania decyzji (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).