Kary za brak zgłoszenia naruszenia ochrony danych osobowych

Jak już sygnalizowaliśmy we wcześniejszych wpisach z naszego cyklu, w Polsce od wejścia RODO nałożono kilkadziesiąt kar finansowych. Istotna część z nich była wynikiem naruszenia przez administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. 

Kolejnym uczestnikiem naszego niechlubnego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest więc art. 33 RODO. Poniżej nasze uwagi do niego w świetle dotychczasowej praktyki Prezesa UODO.

Jakie dokładnie obowiązki nakłada art. 33 RODO na administratora danych?

Omawiany przepis jest dość rozbudowany. My skupimy się jedynie na tych elementach, które okazują się najbardziej kłopotliwe w praktyce.

Zgodnie z art.  33 ust. 1 RODO administrator w przypadku stwierdzenia naruszenia ochrony danych osobowych zobowiązany jest dokonać zgłoszenia takiego naruszenia do organu nadzorczego, którym w Polsce jest Prezes UODO. Szczegółowe wytyczne co do treści zgłoszenia zawiera art. 33 ust. 3 RODO.

Warto też przypomnieć, że przez naruszenie ochrony danych osobowych – zgodnie z art. 4 pkt 12 RODO – należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tak więc właśnie w takich sytuacjach administrator danych zobligowany jest zawiadamiać Prezesa UODO.

Trzeba również pamiętać, że posługiwanie się przy przetwarzaniu osobami trzecimi (procesorami), nie zwalnia administratora z tego obowiązku. Podmiot przetwarzający naruszenie zgłasza administratorowi – w umowie przetwarzania dobrze jest opisać odpowiednią procedurę, która umożliwi administratorowi pełne i terminowe wywiązania się z obowiązku zgłoszenia do Prezesa UODO.

Jak szybko administrator musi dokonać zgłoszenia?

Poprawna odpowiedź na to pytanie jest tylko jedna – zgłoszenie musi być dokonane bez zbędnej zwłoki. Jedynie doprecyzowując w przepisie wskazano, że – w miarę możliwości – ma być ono dokonane nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przekroczenie terminu 72 godzin nie musi zatem wiązać się automatycznie z naruszeniem omawianego przepisu. Wymaga ono jednak każdorazowo zamieszenia w zgłoszeniu dodatkowych wyjaśnień w zakresie przyczyn opóźnienia.

W przypadku gdy nie mamy od razu wszystkich niezbędnych informacji, to i tak powinniśmy zgłoszenia dokonać. Jeśli bowiem informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).

Czy każde naruszenie ochrony danych osobowych musi być zgłaszane Prezesowi UODO?

Każda reguła ma swoje wyjątki, tak więc także obowiązek zgłaszania naruszeń organowi nadzorczemu nie ma charakteru absolutnego. Zgłoszenie jest konieczne, chyba że jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jak pokażemy poniżej (i jak wynika z dotychczasowej praktyki Prezesa UODO), to właśnie o ten wyjątek najczęściej potykają się administratorzy danych.

Na czym polegały naruszenia art. 33 RODO, za które karał Prezes UODO?

Analiza decyzji Prezesa UODO pokazuje, że kary pieniężne były do tej pory nakładane zarówno w przypadku zupełnego zaniechania zgłoszenia, jak i też za dokonanie zgłoszenia z opóźnieniem (tj. dopiero po wszczęciu postępowania administracyjnego).

Jakieś przykłady? 

Poniżej najświeższe przypadki nałożenia kary:

  1. Śląski Uniwersytet Medyczny (treść decyzji)

Naruszenie polegało na udostępnieniu nieuprawnionym odbiorcom (na platformie uniwersyteckiej) nagrań z egzaminów, na których widoczne były m.in. wizerunki studentów, ale też dane z ich dokumentów (legitymacji lub dowodów osobistych) okazywanych egzaminatorom.

Prezes UODO o naruszeniu dowiedział się od osób trzecich. Administrator nie kwestionował, iż naruszenie miało miejsce. Nie dokonał jednak zgłoszenia, gdyż po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych uznał, że zachodzi wyjątek od tego obowiązku.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Administrator podtrzymał jednak swoje dotychczasowe stanowisko.

W dokonanych ocenach administrator powoływał się na wąski krąg osób, które uzyskały nieuprawniony dostęp do danych, wąski zakres ujawnionych danych oraz podjęte działania zaradcze (mające zapobiec podobnym incydentom w przyszłości).

  1. ENEA (treść decyzji)

Naruszenie polegało na wysłaniu przez osobę związaną z ENEA do nieuprawnionego adresata e-maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe (imiona, nazwiska, adresy e-mail, numery telefonów, daty rejestracji w systemie ENEA) kilkuset klientów tej spółki (w tym adresata wiadomości).

Prezes UODO o naruszeniu dowiedział się od osoby, która stała się nieuprawnionym adresatem danych osobowych. Administrator nie kwestionował zdarzenia. Uznał jednak (po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych), że zachodzi wyjątek od obowiązku zgłoszenia.

Prezes UODO w postępowaniu wyjaśniającym zasugerował administratorowi ponowną ocenę incydentu. Administrator podtrzymał jednak swoje dotychczasowe stanowisko. Wskazał, że analizy dokonał w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Wskazał również, że stosując je, uzyskał wynik ryzyka na poziomie WN < 2, czyli: „Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności”.

Administrator powołał się na nasypujące okoliczności:

  1. podstawowy charakter udostępnionych danych, tj. danych niedotyczących zachowań (tzw. danych behawioralnych);
  2. ograniczoną możliwość identyfikacji (niewielki krąg odbiorców oraz nieujawnienie  danych ewidencyjnych typu PESEL);
  3. uzyskanie od nieuprawnionego odbiorcy oświadczenia o zachowaniu poufności.
  1. TUiR WARTA (treść decyzji)

Naruszenie polegało  na wysłaniu e-mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR WARTA, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Prezes UODO o naruszeniu dowiedział się od osoby trzeciej. Administrator nie kwestionował  zdarzenia. Powołał się jednak na brak konieczności zgłoszenia (w związku z wynikiem dokonanej oceny pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych).

Administrator, wyjaśniając dokonaną ocenę, wskazywał na to, że:

  1. klient (podmiot danych osobowych) sam podał błędny adres e-mail, na który został wysłany dokument polisy ubezpieczeniowej;
  2. nieuprawniony odbiorca sam zwrócił się do administratora, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał i ich nie ujawni.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Po przeprowadzeniu takiej oceny administrator dokonał zgłoszenia naruszenia ochrony danych osobowych w toku postępowania.

Jakie kary nakładał Prezes UODO za niezgłoszenie naruszenia ochrony danych osobowych?

Dla przypomnienia – Prezes UODO może nałożyć karę pieniężną w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 lit a RODO). Tyle w teorii.

Wymierzając karę, organ musi jednak uwzględnić szereg czynników: stopień współpracy z organem, charakter i  waga stwierdzonego naruszenia, czas jego trwania, ewentualna umyślność działania, sposób dowiedzenia się o naruszeniu, liczba poszkodowanych, kategorie danych objętych naruszeniem, możliwości poniesienia kary przez dany podmiot.

W praktyce nałożone kary były zatem dużo niższe niż maksymalne limity. W omawianych przypadkach oscylowały w przedziale od 25.000 zł (Śląski Uniwersytet Medyczny) do blisko 140.000 zł (TUiR WARTA otrzymało karę wynoszącą równowartość 20.000 EUR, zaś ENEA 30.000 EUR).

Warto także pamiętać, że w każdym z tych przypadków administrator – jak to zazwyczaj bywa – naruszył  także inne przepisy RODO i wysokość nałożonej kary uwzględniała także te pozostałe naruszenia.

Co sprawiało administratorom największą trudność?

Zarówno niedokonanie zgłoszenia, jak i jego dokonania z opóźnieniem najczęściej było wynikiem nieprawidłowej oceny prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia ochrony danych osobowych. Administratorzy w sposób nieuprawniony uznawali, że nie zachodzi takie ryzyko lub że jego wystąpienie jest mało prawdopodobne.

Jak zatem uniknąć błędów przy weryfikacji, czy konieczne jest dokonanie zgłoszenia do Prezesa UODO?

Analizując incydent prowadzący do naruszenia ochrony danych osobowych i sprawdzając, czy konieczne jest zgłoszenie do Prezesa UODO, czy też można zastosować wyjątek od tego obowiązku, należny pamiętać o następujących kwestiach (błędach ukaranych dotychczas administratorów), które przewijają się we wszystkich decyzjach Prezesa UODO:

  1. podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia (oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia);
  2. możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – samo  wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, oznacza obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu (przykładowo – nie jest ważne, czy odbiorca omyłkowo wysłanych danych się z nimi zapoznał – wystarczy, że miał taką możliwość);
  3. należy prawidłowo określić zakres danych objętych naruszeniem – administratorzy   wielokrotnie skupiając się na najbardziej oczywistych danych osobowych, pomijają mnóstwo rodzajów danych, a przez to nieprawidłowo szacują ryzyko naruszenia praw i wolności osób, których dane dotyczą;
  4. z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślnie; to, że naruszenie jest wynikiem błędu osoby trzeciej (nawet jeśli jest to błąd osoby, której dane dotyczą) nie zwalnia administratora z obowiązku dokonania zgłoszenia;
  5. okoliczność, że naruszenie dotyczy niewielkiej liczby osób (czy wręcz jednej osoby), nie przesądza automatycznie, że nie jest wymagane jego zgłoszenie;
  6. dla oceny konieczności dokonania zgłoszenia nieistotne są działania administratora  mające  uniemożliwić powtórzenie zaistniałego naruszenia (te bowiem są podejmowane na przyszłość i w ogóle nie dotyczą ryzyka naruszenia praw i wolności podmiotów danych objętych naruszeniem).

Dobra rada na zakończenie…

Ponieważ prędzej czy później każdemu przydarzy się naruszenie ochrony danych osobowych, konieczna jest dobra procedura, by sprawnie i prawidłowo przeprowadzić ocenę ryzyka i dokonać ewentualnego zgłoszenia. I na sam koniec coś, co – jak mantra – przewija się we wszystkich decyzjach Prezesa UODO dotyczących naruszenia ochrony danych: w przypadku jakichkolwiek wątpliwości należy naruszenie zgłosić, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Kary za przetwarzanie danych bez podstawy prawnej

Przetwarzanie danych osobowych jest dozwolone jedynie w tych przypadkach, gdy istnieje odpowiednia podstawa prawna takiego działania. Podstawy dopuszczalności przetwarzania danych osobowych określa art. 6 RODO (a także art. 9 RODO w stosunku do szczególnych kategorii danych osobowych wymienionych w tym przepisie oraz art. 10 RODO w stosunku do danych osobowych dotyczących skazań). Przepisy te uszczegóławiają podstawową zasadę przetwarzania danych osobowych sformułowaną w art. 5 RODO, którą jest zasada zgodności z prawem przetwarzania danych, stanowiąca  przedmiot naszego poprzedniego wpisu na blogu.

Jakie są przesłanki legalności przetwarzania danych osobowych?

Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest uzyskanie od osoby, której dotyczą dane, zgody na ich przetwarzanie. Jednak nie jest to jedyna podstawa dopuszczalności przetwarzania – każdy, kto słyszał o RODO, w kontekście podstaw przetwarzania, słyszał zapewne również o prawnie uzasadnionym interesie administratora. Art. 6 RODO wskazuje w sumie sześć podstaw dopuszczalności przetwarzania danych. Poza zgodą podmiotu danych są to:

  • wykonanie umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby,
  • wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
  • prawnie uzasadnione interesy administratora lub strony trzeciej (chodzi o sytuacje, w których administrator nie może powołać się na zgodę, przepis, ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, ponieważ za dopuszczalnością przetwarzania przemawia właśnie „prawnie uzasadniony interes” – będzie to m.in. prowadzenie marketingu bezpośredniego własnych produktów i usług administratora oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej).

Każda z wymienionych okoliczności usprawiedliwiających przetwarzanie danych osobowych ma charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich. Zasadniczo przesłanki te są również równoprawne, co oznacza, że dla dopuszczalności przetwarzania nie jest istotne, na podstawie której z nich  dokonywane jest przetwarzanie danych. Może również zdarzyć się tak, że określone operacje przetwarzania danych osobowych będą legalizowane przez więcej niż jedną przesłankę. W praktyce szczególne znaczenie odgrywają przesłanki zgody i wypełnienia obowiązku prawnego.

Jak często PUODO nakłada kary za naruszenie art. 6 RODO?

Choć zapewnienie zgodności z prawem przetwarzania danych osobowych jest zasadniczym obowiązkiem administratora, a w tym sensie art. 6 RODO jest centralnym przepisem tego aktu prawnego, w praktyce polski organ nadzorczy nałożył do tej pory zaledwie dwie kary dotyczące tego przepisu.

Statystycznie w Unii Europejskiej wygląda to podobnie, choć są zarówno kraje, które mogą pochwalić się zdecydowanie większą ilością kar dotyczących naruszenia przepisów o zgodności przetwarzania danych osobowych z prawem, jak np. Austria, Niemcy, Włochy czy Hiszpania (która wydaje się „rekordzistką” w tym zakresie), jak i kraje, w których w oparciu o art. 6 RODO nałożono zaledwie jedną karę, jak Dania, Słowacja czy Portugalia.

Decyzje PUODO dotyczące podstaw prawnych przetwarzania – w jakich okolicznościach zapadły?

Główny Geodeta Kraju publikował na portalu GEOPORTAL2 (https://www.geoportal.gov.pl/) informacje pozyskane z ewidencji gruntów i budynków, w tym numery ksiąg wieczystych, prowadzonych przez 90 starostów powiatowych niedysponujących infrastrukturą techniczną umożliwiającą samodzielne publikowanie tych informacji na portalu (na podstawie zawartych w oparciu o art. 5 ustawy Prawo geodezyjne i kartograficzne porozumień z tymi starostwami).

W ramach czynności kontrolnych mających na celu zbadanie prawidłowości powyższej praktyki udostępniania danych przez GGK, Prezes UODO ustalił, że Główny Geodeta Kraju nie wskazał przepisu prawa, który stanowiłby podstawę prawną jego działania. Co więcej, z art. 364 ust. 16 ustawy o księgach wieczystych i hipotece oraz art. 5a ust. 4 ustawy Prawo geodezyjne i kartograficzne wynika wręcz zakaz udostępniania danych pozyskanych ze starostw osobom trzecim. Jawność ewidencji gruntów i budynków oznacza, że informacje zawarte w ewidencji nie mają charakteru informacji niejawnych w rozumieniu prawa, ale nie oznacza to powszechnego dostępu do nich. W ocenie Prezesa UODO Główny Geodeta Kraju, zdając sobie sprawę z braku wyraźnej podstawy prawnej do przetwarzania numerów ksiąg wieczystych, naruszył więc zasadę zgodności z prawem przetwarzania danych osobowych. Organ nadzorczy uznał, że porozumienia zawarte przez GGK ze starostwami stanowiły ważną podstawę tworzenia i utrzymywania wspólnych elementów infrastruktury technicznej przeznaczonej do przechowywania i udostępniania określonych zbiorów danych, nie stanowiły one natomiast podstawy prawnej do udostępniania danych, w tym numerów ksiąg wieczystych. Podstawa taka musi wynikać bowiem z powszechnie obowiązujących przepisów prawa.

Prezes UODO podkreślił jednocześnie, że numery ksiąg wieczystych przetwarzane w serwisie GEOPORTAL2 stanowią dane osobowe. W zakresie, w jakim odnoszą się do osób fizycznych, obejmują one m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adresy nieruchomości. Tym samym podane do publicznej wiadomości numery ksiąg wieczystych pozwalają na zidentyfikowanie osoby, której dane są zawarte w księdze wieczystej. Poprzez upublicznienie numerów ksiąg wieczystych dostęp do zawartych w nich danych osobowych może uzyskać każdy użytkownik internetu. To z kolei naraża bardzo dużą liczbę osób na kradzież ich tożsamości, a w konsekwencji narusza ochronę danych osobowych ustanowioną przez RODO.

Kara nałożona na GGK przez Prezesa UODO wyniosła 100 000 złotych, czyli maksymalny wymiar kary, jaka może zostać nałożona na jednostkę sektora publicznego. Nakładając karę, organ nadzorczy wziął pod uwagę nie tylko wagę naruszenia, jego charakter oraz czas trwania, ale także umyślny charakter działania i wysoki stopień odpowiedzialności GGK jako podmiotu administracji publicznej, który powinien stać na straży praworządności.

  • Dolnośląski Związek Piłki Nożnej (decyzja)

Dolnośląski Związek Piłki Nożnej upublicznił w sieci dane 585 sędziów, którym w 2015 r. przyznano licencje sędziowskie. Podano nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. Tymczasem w ocenie Prezesa UODO nie ma żadnych podstaw prawnych, by w internecie dostępny był aż tak szeroki zakres danych sędziów (zwłaszcza dane adresowe oraz numery PESEL). Upubliczniając je, administrator stworzył potencjalne ryzyko bezprawnego wykorzystania tych danych, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań. W konsekwencji na DZPN nałożona została kara finansowa w wysokości 55.750,50 złotych (czyli w przeliczeniu 95,30 złotych za dane jednego sędziego).

PUODO zauważył, że wprawdzie Związek sam dostrzegł swój błąd, czego dowodzi zgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych polegającego na niezamierzonej publikacji danych sędziów, a także powiadomienie sędziów o naruszeniu oraz zwrócenie się do wyszukiwarek internetowych za pośrednictwem firmy informatycznej  o usunięcie danych z wyników wyszukiwania, jednak fakt, że próby usunięcia naruszenia podejmowane przez Związek okazały się nieskuteczne, przesądził o nałożeniu kary. Ponadto zgłoszenie naruszenia oraz fakt, że w dacie orzekania DZPN na swojej stronie internetowej nie przetwarzał danych osobowych osób, którym przyznano licencje sędziowskie, nie mogły stanowić okoliczności łagodzącej, gdyż działania takie są wymagane przepisami prawa.

Czy mimo braku istnienia podstawy przetwarzania administrator może uchronić się przed karą?

W decyzji z 16 kwietnia 2019 r. (decyzja) Prezes UODO odmówił nałożenia kary, pomimo stwierdzenia niezgodnego z prawem udostępnienia danych osobowych, z tego powodu, że działanie administratora – choć stanowiło naruszenie RODO –  było jednorazowe i nie było następnie kontynuowane (sprawa dotyczyła burmistrza, który przekazał lokalnej gazecie dane osobowe byłej pracownicy, w tym dotyczące rozwiązania z nią umowy o pracę).

Podobnym wynikiem zakończyła się sprawa (decyzja) dotycząca nieprawidłowości w przetwarzaniu danych osobowych pracownika przez byłego pracodawcę, które miały polegać na dalszym wykorzystywaniu adresu mailowego pracownika po jego odejściu pracy, jak również głosu pracownika w zapowiedzi słownej na telefonie firmowym. Kary nie nałożono, gdyż w odniesieniu do zapowiedzi głosowej w dacie orzekania przez PUODO pracodawca zaprzestał przetwarzania tych danych, z kolei adres mailowy byłego pracownika został zdezaktywowany i był wykorzystywany jedynie do wysyłania przez pracodawcę komunikatu obejmującego informację o tym, że pracownik nie jest już zatrudniony w spółce oraz o tym, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami spółki – co można potraktować jako prawnie usprawiedliwiony interes administratora danych w rozumieniu art. 6 ust. 1 lit. f RODO.

Jaki z tego wniosek?

Czy zatem fakt, że jak dotąd polski organ nadzorczy nałożył stosunkowo mało kar w oparciu o art. 6 RODO (a także – jak się wydaje – jest „wyrozumiały” w przypadku, gdy naruszenia są mniejszej wagi) może uśpić czujność administratorów, jeśli chodzi o ich dbałość o legitymowanie się zgodną z prawem i aktualną podstawą przetwarzania danych osobowych? W żadnym wypadku! Zapewnienie zgodności z prawem czynności przetwarzania jest jednym z elementarnych obowiązków administratorów danych i trudno liczyć na pobłażliwość UODO w tym zakresie. Wręcz przeciwnie, raczej należy oczekiwać, że organ będzie badał tę kwestię dość surowo, a dodatkowym argumentem na niekorzyść naruszycieli będzie z pewnością czas, jaki upłynął od wejścia w życie RODO, w którym to czasie administratorzy powinni byli podjąć odpowiednie czynności dostosowawcze.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar

Kary za brak odpowiednich zabezpieczeń danych

Jednym z głównych obowiązków wynikających z RODO jest wdrożenie właściwych środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych (art. 32 RODO). Realizacja tego obowiązku jest w praktyce faktycznie monitorowana przez Prezesa Urzędu Ochrony Danych Osobowych – dotychczas w wyniku jego naruszenia organ nałożył już szereg kar, z których część omówiliśmy w naszym artykule.

Jakie środki należy wdrożyć, aby działać zgodnie z RODO?

Jedną z podstawowych trudności, wynikających z omawianego obowiązku, jest brak określenia konkretnych i uniwersalnych środków, które zapewniłyby zgodność z aktualnymi przepisami. RODO wskazuje oczywiście przykładowe środki, jednak  to po stronie administratorów i podmiotów przetwarzających jest każdorazowe dokonanie oceny procesów przetwarzania i dobranie środków tak, aby były adekwatne do zidentyfikowanych ryzyk. Jak wynika z RODO, środki te należy wdrożyć z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jak organ ocenia wdrożenie odpowiednich środków technicznych i organizacyjnych?

Prezes Urzędu Ochrony Danych Osobowych (PUODO) wskazuje, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym i obejmuje:

  1. określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych,
  2. ustalenie, jakie środki będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Jak wynika z decyzji PUODO, obowiązkiem administratora i podmiotu przetwarzającego jest jednak nie tylko wdrożenie odpowiednich środków, ale też ich regularne i kompleksowe testowanie, pomiary i oceny ich skuteczności.

Podejście PUODO — konkretne decyzje

  1. Cyfrowy Polsat S.A. (decyzja)

Postępowanie zostało wszczęte przez Prezesa UODO, w związku z regularnym dokonywaniem przez spółkę zgłoszeń naruszeń ochrony danych, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane klientów lub na wydaniu przez kurierów dokumentów, w których znajdowały się dane  niewłaściwym osobom.

PUODO zarzucił spółce brak wdrożenia odpowiednich środków pozwalających szybko identyfikować naruszenia ochrony danych. Jak wskazał, nie jest wystarczające działanie administratora polegające na zgłaszaniu naruszeń, gdy tylko informację o nich otrzymał od firmy kurierskiej (z którą podpisał umowę), ale przede wszystkim to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybkie identyfikowanie takich incydentów i tym samym powiadamianie PUODO i osób, których dotyczy dane zdarzenie. W wyniku stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości 1 136 975 zł.

  1. Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)

Jak wskazał PUODO, KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych znajdujących się w kopii bazy danych platformy szkoleniowej KSSIP, co stanowiło naruszenie art. 32 RODO. W konsekwencji PUODO nałożył na KSSIP karę w wysokości 100 tys. zł.

  1. ID Finance Poland Sp. z o.o. w likwidacji (decyzja)

Jak wynika z decyzji PUODO, spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach oraz nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera, jednocześnie żądając okupu za zwrot wykradzionych informacji.

Jak wskazał PUODO, odpowiedzialności spółki nie wyłącza fakt, że spółka przekazała podmiotowi przetwarzającemu informację o potencjalnej luce w zabezpieczeniach serwera, a brak odpowiednio szybkiej reakcji leżał po stronie podmiotu przetwarzającego. W ocenie organu to administrator musi mieć zdolność do wykrywania naruszeń, zarządzania nim oraz ich zgłaszania, co stanowi kluczowy element środków technicznych i organizacyjnych. Wobec stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości ponad 1 mln zł.

  1. Szkoła Główna Gospodarstwa Wiejskiego (decyzja)

Postępowanie wszczęte zostało przez PUODO po otrzymaniu zgłoszenia o kradzieży prywatnego komputera pracownika uczelni, który używał go również do celów służbowych, w tym do przetwarzania danych kandydatów na studia.

W wyniku postępowania PUODO stwierdził, że administrator:

  1. nie miał wiedzy o przetwarzaniu danych na prywatnym komputerze pracownika,
  2. nie kontrolował procesu przetwarzania danych poprzez:

– brak weryfikacji, na jakich nośnikach przetwarzane są dane kandydatów pobierane z systemu informatycznego,
– brak rejestrowania tej operacji w systemie informatycznym.

Po stwierdzeniu ww. naruszeń PUODO nałożył na SGGW karę w wysokości 50 tys. zł.

  1. Morele.net Sp. z o.o. (decyzja)

W decyzji nakładającej karę Prezes UODO uznał, że spółka nie zastosowała wystarczających środków  technicznych ochrony danych, w wyniku czego doszło do nieuprawnionego dostępu do danych jej klientów.

Organ uznał, że brak odpowiednich środków polegał m.in. na zastosowaniu nieskutecznego mechanizmu uwierzytelniania dostępu do danych oraz na nieskutecznym monitorowaniu potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci. W konsekwencji PUODO nałożył na spółkę karę w wysokości ponad 2,8 mln zł.

  1. Decyzja Virgin Mobile Polska Sp. z o.o. (decyzja)

Jak wynika z decyzji PUODO, Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i ocen skuteczności zastosowanych środków mających zapewnić bezpieczeństwo przetwarzanych danych – co PUODO również uznał za naruszenie i nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

Według ustaleń PODUO, działania w ww. zakresie podejmowane były jedynie incydentalnie (przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi) i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Jak wynika chociażby z powyższych decyzji, w praktyce wysokość kar nakładanych przez PUODO jest zróżnicowana (w ww. sprawach waha się ona od kilkudziesięciu tysięcy do kilku milionów złotych). Oczywiście wysokość kary uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Projektując procesy przetwarzania danych, dokonujmy niezbędnej oceny i od początku uwzględniajmy adekwatne zabezpieczenia danych, które będziemy następnie poddawać regularnym testom i monitorowaniu. Takie podejście pozwoli nie tylko zapewnić faktyczne bezpieczeństwo przetwarzanych danych i uniknąć tzw. incydentów (które często muszą być zgłaszane organowi i stają się przyczyną wszczynanych kontroli), ale umożliwi też uniknięcie nałożenia kar za sam brak adekwatnych zabezpieczeń.

Kary za brak współpracy z Prezesem UODO

Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań. 

Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO  i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.

Czy tego typu kary są możliwe?

Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO.  Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.

Czy w praktyce są spotykane?

Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.

Co tak naprawdę oznacza brak współpracy?

W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.

Konkretne przykłady? 

Bardzo proszę:

  1. Anwara (treść decyzji)

Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu  rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.

  1. Smart Cities (treść decyzji)

Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z  organem celem zasygnalizowania ewentualnych wątpliwości.

Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.

  1. Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)

Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.

W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.

  1. PNP (treść decyzji)

Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.

W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.

  1. Główny Geodeta Kraju (treść decyzji)

W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.

 

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).

Należy jednak pamiętać, że:

  1. kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
  2. Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  3. wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy  naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.

Na zakończenie…

… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj