W poniedziałek, 6 lipca 2026 r. na stronie Urzędu Ochrony Danych Osobowych pojawił się komunikat, w którym poinformowano o nałożeniu kary finansowej na administratora prowadzącego kancelarię podatkową. Powodem było niewdrożenie odpowiednich środków technicznych i organizacyjnych chroniących dane osobowe.
UODO nałożył karę 11 594 zł za brak zabezpieczeń danych
Prezes UODO Mirosław Wróblewski ukarał administratora prowadzącego kancelarię podatkową karą w wysokości 11 594 zł. Chodziło o niewdrożenie odpowiednich środków technicznych i organizacyjnych chroniących dane osobowe. Wcześniej, administrator prowadzący kancelarię podatkową zgłosił naruszenie ochrony danych osobowych. Nieuprawniona osoba przejęła konto e-mail jednego z pracowników kancelarii. W skrzynce znajdowały się dane osobowe 111 osób, w tym klientów kancelarii, ich pracowników oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego. Zgłoszenie to było impulsem do dokonania oceny realizacji przez administratora obowiązków wynikających z przepisów RODO dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania danymi w postaci elektronicznej, w tym za pośrednictwem poczty elektronicznej.
- Lekarze w prywatnych gabinetach każą sobie płacić majątek za to, co jest za darmo na NFZ. Miliony Polaków nie mają pojęcia zmianach, jakie zaszły na refundacyjnej liście
- Zamienią wielką plażę w elektrownię jądrową. W lipcu rusza budowa
- Zakaz parkowania przed własnym domem. Sąsiad może żądać usunięcia auta nawet z prywatnej działki
Przejęta skrzynka e-mail i brak możliwości ustalenia skali naruszenia
Kancelaria poinformowała UODO, że z przejętego konta wysłano wiadomości, jednak – jej zdaniem – nie ma dowodów, że doszło do pobrania danych. Organ nadzorczy nie podzielił tej argumentacji. W ocenie UODO, administrator nie był w stanie ustalić, jak długo skrzynka pozostawała pod kontrolą osoby nieuprawnionej ani czy znajdujące się na niej dane zostały skopiowane. Nie dysponował logami ani innymi narzędziami pozwalającymi odtworzyć przebieg zdarzenia.
Prezes UODO przypomniał, że zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony, nie oznacza, że nie doszło do naruszenia ochrony danych osobowych.
UODO: administrator nie zapewnił odpowiedniego poziomu ochrony
W toku postępowania ustalono, że przed incydentem kancelaria nie przeprowadziła analizy ryzyka dotyczącej przetwarzania danych w systemach objętych naruszeniem. Nie posiadała także odrębnych procedur dotyczących ochrony danych w tym obszarze, a stosowane zabezpieczenia nie były regularnie testowane ani oceniane pod kątem skuteczności. Dopiero po wykryciu naruszenia, już podczas postępowania prowadzonego przez UODO, administrator wdrożył analizę ryzyka, Politykę Bezpieczeństwa Informacji oraz przeprowadził audyt infrastruktury informatycznej.
Kara za brak odpowiednich środków bezpieczeństwa
Kara finansowa w wysokości 11 594 zł została nałożona przez Prezesa UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego. W opublikowanym komunikacie przypomniano, że kara pieniężna nie jest nakładana wyłącznie za samo naruszenie ochrony danych. Sankcja dotyczy przede wszystkim sytuacji, gdy administrator nie zapewni odpowiedniego – wymaganego przez RODO – poziomu zabezpieczenia danych osobowych.
Specjalizuje się w tematach z pogranicza bezpieczeństwa, finansów i technologii. Publikuje w serwisach Grupy INFOR, m.in. na Dziennik.pl i Forsal.pl.
