ENEA S.A. z karą pieniężną ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych. Co zrobić, aby uniknąć takich kar?

ENEA S.A. z karą pieniężną ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych. Co zrobić, aby uniknąć takich kar?

autor

Na czym polegało naruszenie?

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez ENEA S.A. przepisu art. 33 ust. 1 rozporządzenia 2016/679 (dalej RODO), polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na ENEA S.A. karę pieniężną w wysokości 136.437,00 zł, 

co stanowi równowartość 30 000 euro.

Dlaczego nałożono karę?

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych.

W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i dwustu pięćdziesięciu dziewięciu innych osób (imiona, nazwiska, adresy e-mail, numery telefonów, a także informacje o dacie rejestracji). Oznacza  to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych dwustu pięćdziesięciu dziewięciu osób osobie nieuprawnionej do otrzymania tych danych,  a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych. 

Przedmiotowe naruszenie poufności ochrony danych osobowych zdaniem Organu Nadzorczego, wbrew twierdzeniom Spółki zawartym w korespondencji kierowanej do Prezesa UODO, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Możliwym ryzykiem związanym  z zaistniałym zdarzeniem jest bowiem w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów poprzez e-mail lub telefon – również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji.

W konsekwencji to naruszenie skutkowało powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 RODO.  Do dnia wydania  decyzji administracyjnej, spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Więcej: https://uodo.gov.pl/pl/138/1944 

Czy można uniknąć takich kar? 

Nasza rekomendacja:

Urząd Ochrony Danych Osobowych w opublikowanej decyzji administracyjnej wskazał, że  administracyjna kara pieniężna “Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych,  a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie”.

W związku z tym nasi Inspektorzy Ochrony Danych rekomendują:

  1. Wdrożenie procedur bezpieczeństwa w zakresie przekazywania dokumentów zawierających dane osobowe za pośrednictwem poczty elektronicznej lub na nośnikach danych.
  2. Zapewnienie personelowi cyklicznych szkoleń z zakresu ochrony danych osobowych, w tym również w zakresie procedur wdrożonych u administratora.
  3. Regularne audyty ochrony danych osobowych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
  4. Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych przy ocenie charakteru i wagi naruszenia, a tym samym ocenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Przy ocenie należy wziąć pod powagę naruszenia w kontekście wielkości szkody, jakie może ono spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwo wystąpienia tego zdarzenia będącego skutkiem naruszenia. Poza tym konieczne jest uwzględnienie czy ujawnione dane dotyczą szczególnej kategorii danych (tzw. dane wrażliwe np. informacje o stanie zdrowia), czy dotyczą dzieci, jak duża ilość danych osobowych została ujawniona i ilu osób dotyczy.
  5. Sukcesywne przekazywanie informacji o naruszeniu Organowi Nadzorczemu, jeżeli nie dysponujemy w 100% informacjami dotyczącymi danego naruszenia danych osobowych. Ważne, żeby wstępnego zgłoszenia naruszenia ochrony danych osobowych dokonać w ciągu 72 godzin od stwierdzenia naruszenia. 

Więcej o naruszeniach ochrony danych osobowych możecie Państwo przeczytać w artykule mojego kolegi Patryka Makowskiego na naszym blogu. Serdecznie polecam.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor Monika Kowalik