Kary za brak odpowiednich zabezpieczeń danych
12 kwietnia 2022 / Marta Maliszewska / Aktualności
Jednym z głównych obowiązków wynikających z RODO jest wdrożenie właściwych środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych (art. 32 RODO). Realizacja tego obowiązku jest w praktyce faktycznie monitorowana przez Prezesa Urzędu Ochrony Danych Osobowych – dotychczas w wyniku jego naruszenia organ nałożył już szereg kar, z których część omówiliśmy w naszym artykule.
Jakie środki należy wdrożyć, aby działać zgodnie z RODO?
Jedną z podstawowych trudności, wynikających z omawianego obowiązku, jest brak określenia konkretnych i uniwersalnych środków, które zapewniłyby zgodność z aktualnymi przepisami. RODO wskazuje oczywiście przykładowe środki, jednak to po stronie administratorów i podmiotów przetwarzających jest każdorazowe dokonanie oceny procesów przetwarzania i dobranie środków tak, aby były adekwatne do zidentyfikowanych ryzyk. Jak wynika z RODO, środki te należy wdrożyć z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Jak organ ocenia wdrożenie odpowiednich środków technicznych i organizacyjnych?
Prezes Urzędu Ochrony Danych Osobowych (PUODO) wskazuje, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym i obejmuje:
- określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych,
- ustalenie, jakie środki będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Jak wynika z decyzji PUODO, obowiązkiem administratora i podmiotu przetwarzającego jest jednak nie tylko wdrożenie odpowiednich środków, ale też ich regularne i kompleksowe testowanie, pomiary i oceny ich skuteczności.
Podejście PUODO — konkretne decyzje
- Cyfrowy Polsat S.A. (decyzja)
Postępowanie zostało wszczęte przez Prezesa UODO, w związku z regularnym dokonywaniem przez spółkę zgłoszeń naruszeń ochrony danych, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane klientów lub na wydaniu przez kurierów dokumentów, w których znajdowały się dane niewłaściwym osobom.
PUODO zarzucił spółce brak wdrożenia odpowiednich środków pozwalających szybko identyfikować naruszenia ochrony danych. Jak wskazał, nie jest wystarczające działanie administratora polegające na zgłaszaniu naruszeń, gdy tylko informację o nich otrzymał od firmy kurierskiej (z którą podpisał umowę), ale przede wszystkim to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybkie identyfikowanie takich incydentów i tym samym powiadamianie PUODO i osób, których dotyczy dane zdarzenie. W wyniku stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości 1 136 975 zł.
- Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)
Jak wskazał PUODO, KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych znajdujących się w kopii bazy danych platformy szkoleniowej KSSIP, co stanowiło naruszenie art. 32 RODO. W konsekwencji PUODO nałożył na KSSIP karę w wysokości 100 tys. zł.
- ID Finance Poland Sp. z o.o. w likwidacji (decyzja)
Jak wynika z decyzji PUODO, spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach oraz nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera, jednocześnie żądając okupu za zwrot wykradzionych informacji.
Jak wskazał PUODO, odpowiedzialności spółki nie wyłącza fakt, że spółka przekazała podmiotowi przetwarzającemu informację o potencjalnej luce w zabezpieczeniach serwera, a brak odpowiednio szybkiej reakcji leżał po stronie podmiotu przetwarzającego. W ocenie organu to administrator musi mieć zdolność do wykrywania naruszeń, zarządzania nim oraz ich zgłaszania, co stanowi kluczowy element środków technicznych i organizacyjnych. Wobec stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości ponad 1 mln zł.
- Szkoła Główna Gospodarstwa Wiejskiego (decyzja)
Postępowanie wszczęte zostało przez PUODO po otrzymaniu zgłoszenia o kradzieży prywatnego komputera pracownika uczelni, który używał go również do celów służbowych, w tym do przetwarzania danych kandydatów na studia.
W wyniku postępowania PUODO stwierdził, że administrator:
- nie miał wiedzy o przetwarzaniu danych na prywatnym komputerze pracownika,
- nie kontrolował procesu przetwarzania danych poprzez:
– brak weryfikacji, na jakich nośnikach przetwarzane są dane kandydatów pobierane z systemu informatycznego,
– brak rejestrowania tej operacji w systemie informatycznym.
Po stwierdzeniu ww. naruszeń PUODO nałożył na SGGW karę w wysokości 50 tys. zł.
- Morele.net Sp. z o.o. (decyzja)
W decyzji nakładającej karę Prezes UODO uznał, że spółka nie zastosowała wystarczających środków technicznych ochrony danych, w wyniku czego doszło do nieuprawnionego dostępu do danych jej klientów.
Organ uznał, że brak odpowiednich środków polegał m.in. na zastosowaniu nieskutecznego mechanizmu uwierzytelniania dostępu do danych oraz na nieskutecznym monitorowaniu potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci. W konsekwencji PUODO nałożył na spółkę karę w wysokości ponad 2,8 mln zł.
- Decyzja Virgin Mobile Polska Sp. z o.o. (decyzja)
Jak wynika z decyzji PUODO, Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i ocen skuteczności zastosowanych środków mających zapewnić bezpieczeństwo przetwarzanych danych – co PUODO również uznał za naruszenie i nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.
Według ustaleń PODUO, działania w ww. zakresie podejmowane były jedynie incydentalnie (przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi) i nie obejmowały wszystkich systemów, w których przetwarzane są dane.
Jak wysokiej kary należy się spodziewać?
W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).
Jak wynika chociażby z powyższych decyzji, w praktyce wysokość kar nakładanych przez PUODO jest zróżnicowana (w ww. sprawach waha się ona od kilkudziesięciu tysięcy do kilku milionów złotych). Oczywiście wysokość kary uzależniona jest od wielu czynników, m.in. od skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.
Jaki z tego wniosek?
Projektując procesy przetwarzania danych, dokonujmy niezbędnej oceny i od początku uwzględniajmy adekwatne zabezpieczenia danych, które będziemy następnie poddawać regularnym testom i monitorowaniu. Takie podejście pozwoli nie tylko zapewnić faktyczne bezpieczeństwo przetwarzanych danych i uniknąć tzw. incydentów (które często muszą być zgłaszane organowi i stają się przyczyną wszczynanych kontroli), ale umożliwi też uniknięcie nałożenia kar za sam brak adekwatnych zabezpieczeń.
Potrzebujesz pomocy w tym temacie?
Napisz do naszego eksperta
Artykuły z tej kategorii
Jakie wyzwania prawne stoją przed sztuczną inteligencją?
Jakie wyzwania prawne stoją przed sztuczną inteligencją?Trwają zapisy na studia podyplomowe „Prawo nowych technologii
Trwają zapisy na studia podyplomowe „Prawo nowych technologiiPremiera kolejnego odcinka podcastu „Prawo a nowe technologie”
Premiera kolejnego odcinka podcastu „Prawo a nowe technologie”