ZWAD.405.1981
PostanowieniePrezes UODO2019-04-10
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy postępowanie w sprawie niezawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych, powinno zostać umorzone, gdy w jego toku odnaleziono zagubiony nośnik danych i ustalono, że nie doszło do nieuprawnionego dostępu ani ujawnienia?Ratio decidendi
Postępowanie administracyjne w sprawie niezgodnego z art. 34 ust. 2 RODO powiadomienia osób, których dane dotyczą, staje się bezprzedmiotowe, gdy w jego toku odnaleziono zagubiony nośnik danych i nie stwierdzono nieuprawnionego dostępu ani ujawnienia. W takiej sytuacji organ administracji publicznej wydaje decyzję o umorzeniu postępowania na podstawie art. 105 § 1 KPA.Stan faktyczny
Zespół Szkół zgłosił naruszenie ochrony danych polegające na zagubieniu pendrive’a z danymi osobowymi pracowników. Administrator powiadomił osoby, których dane dotyczą, jednak treść zawiadomienia nie spełniała wymogów art. 34 ust. 2 RODO. Po wszczęciu postępowania administracyjnego, nośnik został odnaleziony w gabinecie dyrektora, co zdaniem administratora wykluczało nieuprawniony dostęp lub ujawnienie danych.Rozstrzygnięcie
Postępowanie w niniejszej sprawie umarza się w całości.Pełny tekst orzeczenia
Warszawa, 10 kwietnia 2019prawomocna Decyzja ZWAD.405.1981.2018 Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), w związku z art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 04.05.2016, str. 1, późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie niezawiadomienia przez Zespół Szkół w W., osób, których dotyczyło naruszenie ochrony danych osobowych, zgodnie z art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 04.05.2016, str. 1, późn. zm.), Prezes Urzędu Ochrony Danych Osobowych umarza w całości postępowanie w niniejszej sprawie. Uzasadnienie Do Urzędu Ochrony Danych Osobowych, w dniu (…) grudnia 2018 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych przesłane przez Zespół Szkół w W., zwany dalej jako „Zespół Szkół”, na podstawie art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 04.05.2016, str. 1, późn. zm.) zwanego dalej jako „rozporządzenie 2016/679”. Zgodnie ze zgłoszeniem, przesłanym przez dyrektora Zespołu Szkół, naruszenie ochrony danych osobowych polegało na zagubieniu nośnika danych, pendrive’a, zawierającego następujące dane osobowe pracowników Zespołu Szkół: imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer PESEL, nazwisko rodowe matki, seria i numer dowodu osobistego. Ze zgłoszenia wynikało, iż administrator zawiadomił osoby, których dane dotyczą o naruszeniu ochrony danych osobowych. Ponieważ jednak zgłoszenie nie spełniało wymogów zawartych w art. 34 ust. 2 w zw. z art. 33 ust. 3 rozporządzenia 2016/679 Prezes Urzędu Ochrony Danych Osobowych wystosował wystąpienie do Zespołu Szkół, wzywające do ponownego, prawidłowego powiadomienia osób, których dane dotyczą. W odpowiedzi na wystąpienie, Zespół Szkół, w dniu (…) stycznia 2019 r., przesłał ponownie treść zawiadomienia, lecz nie różniła się ona od tej przesłanej w dniu (…) grudnia 2018 r., a w następstwie, nie spełniała wymogów zawartych w art. 34 ust. 2 rozporządzenia 2016/679. Wobec powyższego, w dniu (…) lutego 2019 r. na podstawie art. 61 § 1 i 4 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096) zwanej dalej „Kpa” w związku z art. 58 ust. 2 lit. e rozporządzenia 2016/679 wszczęte zostało postępowanie administracyjne w sprawie niezawiadomienia przez Zespół Szkół w W., osób, których dotyczyło naruszenie ochrony danych osobowych, zgodnie z art. 34 ust. 2 rozporządzenia 2016/679. Pismem z dnia (…) marca 2019 r. Zespół Szkół oświadczył, iż wobec odnalezienia nośnika danych w dniu (…) grudnia 2018 r. w siedzibie administratora, tj. gabinecie dyrektora Zespołu Szkół, naruszenie nie mogło doprowadzić do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje. Stosownie do przepisu art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika zatem, że postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem tego postępowania. Mając na uwadze fakt, iż przedmiotowy nośnik danych został odnaleziony w siedzibie administratora i nie doszło do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, stwierdzić należy, iż postępowanie w niniejszej sprawie stało się bezprzedmiotowe. W konsekwencji konieczne jest, na podstawie art. 105 § 1 Kpa, wydanie decyzji o jego umorzeniu w całości. Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Powołane przepisy
art. 34 ust. 2 RODO
Źródło: Urząd Ochrony Danych Osobowych (uodo.gov.pl), pozyskano 14.07.2026. · Źródło