Wzmożona aktywność Prezesa Urzędu Ochrony Danych Osobowych
Miniony rok zakończył się serią kar pieniężnych wymierzonych przez Prezesa UODO. Pokazują one, jak istotna jest dbałość o bezpieczeństwo danych osobowych. I jak kosztowne może okazać się jej niezachowanie.
Milionowa kara za brak szybkiej reakcji na incydent
Prezes UODO uznał, że spółka ID Finance Poland sp. z o.o. w likwidacji (właściciel portalu pożyczkowego MoneyMan.pl) nie zapewniła bezpieczeństwa przetwarzanych danych osobowych, co skutkowało uzyskaniem do nich nieuprawnionego dostępu przez osoby trzecie. W wydanej decyzji stwierdził naruszenie szeregu przepisów prawa ochrony danych osobowych (art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO) i wymierzył spółce karę pieniężną w wysokości ponad 1 mln zł.
W trakcie restartu serwera przez podmiot przetwarzający, z którego usług korzystała spółka, doszło do zresetowania ustawień bezpieczeństwa. Skutkiem tego przetwarzane dane osobowe stały się publicznie dostępne, o czym spółkę powiadomił niezależny konsultant specjalizujący się w cyberbezpieczeństwie. W opinii Prezesa UODO spółka nie zareagowała odpowiednio na sygnał o lukach w zabezpieczeniach. Administrator skupił się na badaniu intencji nadawcy wiadomości, zamiast szybko zbadać incydent w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych. W efekcie dane osobowe znajdujące się na serwerze zostały pobrane i usunięte przez nieznany podmiot trzeci, który wystąpił do spółki z żądaniem zapłaty w zamian za ich zwrot.
W następstwie tych wydarzeń doszło do naruszenia ochrony danych osobowych, które dotyczyły ponad 140 tys. klientów spółki i obejmowały: imię i nazwisko, poziom wykształcenia, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu, numer PESEL, narodowość, numer NIP, hasło do serwisu internetowego, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego. Spółka zgłosiła naruszenie organowi nadzorczemu oraz osobom, których dane dotyczą, zgodnie z wymogami prawa o ochronie danych osobowych.
Pełna treść decyzji z 17 grudnia 2020 r. (DKN.5130.1354.2020) dostępna jest na stronie UODO.
Dwumilionowa kara za brak regularnych testów systemów
Zaledwie dwa tygodnie wcześniej Prezes UODO stwierdził, że spółka Virgin Mobile Polska sp. z o.o. nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa, który odpowiadałby ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych. Organ nadzorczy dopatrzył się naruszenia licznych przepisów prawa ochrony danych osobowych (art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 RODO) i nałożył na spółkę karę pieniężną w wysokości niemal 2 mln zł.
W ocenie Prezesa UODO spółka nie przeprowadzała regularnych testów, pomiarów i ocen skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności czy w związku ze zmianami organizacyjnymi.
Tym samym Prezes UODO podzielił pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r. (II SA/Wa 2559/19), zgodnie z którym: Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń.
Na tym tle doszło do naruszenia ochrony danych osobowych, które dotyczyły niemal 115 tys. klientów spółki i obejmowały: imię i nazwisko, numer PESEL, serię i numer dowodu osobistego, numer telefonu, numer NIP oraz nazwę podmiotu. Spółka zgłosiła naruszenie organowi nadzorczemu oraz osobom, których dane dotyczą, zgodnie z wymogami prawa o ochronie danych osobowych.
Pełna treść decyzji z 3 grudnia 2020 r. (DKN.5112.1.2020) dostępna jest na stronie UODO.
Kara za niezgłoszenie naruszenia ochrony danych osobowych
Śląski Uniwersytet Medyczny w Katowicach nie zgłosił naruszenia ochrony danych osobowych Prezesowi UODO ani podmiotom, których dotyczą dane, wbrew wymogom RODO. W związku z tym organ nadzorczy nałożył na uczelnię karę pieniężną w wysokości 25 tys. zł.
Naruszenie ochrony danych osobowych polegało na udostępnieniu na platformie internetowej uczelni nagrań obrazujących przebieg egzaminu praktycznego z pediatrii. Studenci nie tylko nie wyrazili zgody na publikację nagrań z przebiegu egzaminu (na których widoczne były ich legitymacje studenckie lub dowody tożsamości), ale nie zostali nawet poinformowani o ich udostępnieniu przez uczelnię.
Aż kilkanaście osób powiadomiło Prezesa UODO o zaistniałym naruszeniu ochrony danych osobowych. Jak ustalił organ, dotyczyło ono 156 studentów Śląskiego Uniwersytetu Medycznego i obejmowało udostępnienie wszystkich danych zawartych w dowodach osobistych i legitymacjach studenckich.
Pełna treść decyzji z 5 stycznia 2021 r. (DKN.5131.6.2020) dostępna jest na stronie UODO.
Naruszenie ochrony danych osobowych na skutek pomyłki klienta również podlega zgłoszeniu
Również Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. nie zgłosiło naruszenia ochrony danych osobowych Prezesowi UODO ani podmiotom, których dane dotyczą. W związku z tym organ nadzorczy wymierzył spółce karę w kwocie 85 tys. zł.
Tym razem naruszenie ochrony danych osobowych polegało zdaniem PUODO na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata. Zdarzenie dotyczyło jedynie dwóch klientów spółki i obejmowało: imię i nazwisko, adresy zamieszkania lub korespondencyjne, numer PESEL, numer telefonu, adres e-mail. Prezes UODO dowiedział się o nim od nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów.
W toku postępowania Prezes UODO uznał, że okoliczność, iż do naruszenia doszło w wyniku błędu klienta, który podał administratorowi nieprawidłowy adres e-mail, nie ma wpływu na kwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych.
Pełna treść decyzji z 9 grudnia 2020 r. (DKN.5131.5.2020) dostępna jest na stronie UODO.
Podsumowanie
Dbałość o bezpieczeństwo danych osobowych jest jednym z podstawowych obowiązków na gruncie rozporządzenia 2016/679. W tym kontekście ciężar doboru i wdrożenia odpowiednich (ze względu na poziom ryzyka) środków technicznych i organizacyjnych spoczywa najczęściej na administratorze. Dokonując tej oceny, powinien on uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
Ważne jest, aby pamiętać, że obowiązki administratora mają charakter dynamiczny. Zgodnie z rozporządzeniem obejmują one regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Z kolei w przypadku naruszenia ochrony danych osobowych administrator ma co do zasady obowiązek niezwłocznie zgłosić je organowi nadzorczemu oraz powiadomić osobę, której dane dotyczą.
Jak pokazują przedstawione decyzje, Prezes UODO nie obniża wysokiej poprzeczki postawionej przez ustawodawcę unijnego.
Naruszenie przepisów prawa ochrony danych osobowych może skutkować nałożeniem na administratora kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Aleksandra Drożdż, praktyka transakcji i prawa korporacyjnego kancelarii Wardyński i Wspólnicy
Jakub Gerula, praktyka transakcji i prawa korporacyjnego oraz praktyka bankowości i finansowania projektów kancelarii Wardyński i Wspólnicy