Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 3,000 eurot haldustrahvi sihtasutusele, kes ei teavitanud järelevalveasutust ega andmesubjekte isikuandmetega seotud rikkumisest.

Tegu on sihtasutusega, mis tegeleb õigusabi andmise, psühholoogilise nõustamise, kuriteoohvrite ja nende perede toetamise ning avaliku võimu kandjate, riikliku meditsiinisüsteemi ja kindlustusfirmade poolt halvasti koheldud isikute õiguste kaitsega.

Järelevalveasutus sai teate võimaliku GDPR-st tulenevate kohustuste rikkumise kohta seoses andmevarguse kohta algatatud kriminaalmenetlusega.

Isikuandmetega seotud rikkumine puudutas 96 inimest, kellele sihtasutus oli abi osutanud. „Lendu“ olid läinud nimed, postiaadressid, telefoninumbrid ja sotsiaalkindlustuse numbrid.

Järelevalveasutus küsis sihtasutuselt:

a) selgitust mitteteavitamise kohta;

c) andmekaitsespetsialisti kontaktandmeid;

Sihtasutus vastas, et kuna nad hindasid isikuandmete kaotsimineku mitteoluliseks vahejuhtumiks, nad järelevalveasutust ega andmesubjekte isikuandmetega seotud rikkumisest ei teavitanud.

Ka andmekaitsespetsialisti ei olnud sihtasutus ametisse määranud.

Järelevalveasutus asus seisukohale, et sihtasutus on seega rikkunud GDPR artikli 33 lõiget 1 ja artikli 34 lõiget 1. Need artiklid sätestavad kohustuse teavitada järelevalveasutust rikkumisest 72 tunni jooksul ja kohustuse teavitada ka andmesubjekte kui oht neile on tõenäoliselt suur.

Järelevalveasutus rõhutas, et sihtasutus oli jätnud andmesubjektid ilma võimalusest kaitsta oma huve ning vältida võimalikku kahju.

Ainult andmesubjekti teavitamine tema andmetega seotud intsidendist annab isikule võimaluse astuda iseseisvalt samme selleks, et kaitsta oma õigusi ja vabadusi rikkumise võimalike negatiivsete tagajärgede eest.

Artikli kirjutamisel kasutatud allikas:

https://uodo.gov.pl/decyzje/DKN.5131.11.2020