Na czym polegało naruszenie?
Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Cyfrowy Polsat S.A. przepisu art. 24 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 (dalej RODO), polegającego na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych.
Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?
Prezes Urzędu Ochrony Danych Osobowych nałożył na Cyfrowy Polsat administracyjną karę pieniężną w wysokości 1.136.975,00 zł, co stanowi równowartość 250.000 euro.
Dlaczego nałożono karę?
Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia polegające na zagubieniu korespondencji z danymi osobowymi lub dostarczeniu takiej przesyłki do niewłaściwego odbiorcy. Poza tym naruszenia te były identyfikowane z dużym opóźnieniem, co narażało klientów Cyfrowego Polsatu na ryzyko wykorzystania ich danych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Byli oni powiadamiani o incydencie po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia. W tym czasie klienci Spółki nie mogli podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Tymczasem zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki: imiona i nazwiska, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz dane dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat). Opóźnienia w realizacji obowiązku zawiadamiania osób o naruszeniu ich danych osobowych wynikały z braku mechanizmów umożliwiających szybką identyfikację naruszeń ochrony danych osobowych, a nie ze zwłoką zaistniałą pomiędzy stwierdzeniem tych naruszeń a zawiadomieniami osób nimi dotkniętych. W związku z powyższym postępowanie zostało umorzone w zakresie możliwości naruszenia przez Spółkę art. 34 ust. 1 RODO.
W toku postępowania okazało się, że administrator zgłaszał naruszenia, gdy tylko informację o nich otrzymał od firmy kurierskiej, z którą miał podpisaną umowę. Z tym że zdaniem UODO, to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.
Pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń. Ponadto było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie. Jednak dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi.
Więcej: https://uodo.gov.pl/pl/138/2048
Czy można uniknąć takich kar?
Nasza rekomendacja:
Urząd Ochrony Danych Osobowych w opublikowanej decyzji administracyjnej wskazał, że “Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, ponieważ Spółka naruszyła przepisy rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Spółkę, jak i innych administratorów danych.” Poza tym w decyzji możemy przeczytać: “Nawiasem mówiąc, przypadki zgłaszanych naruszeń ochrony danych osobowych związanych z nieprawidłowościami po stronie operatorów pocztowych nie należą do wyjątkowych w praktyce UODO, do wyjątków należą jednak sytuacje, w których administrator nie podejmuje natychmiastowych działań związanych z zaginięciem bądź nieprawidłowym doręczeniem nadanych przez siebie przesyłek zawierających dane osobowe klientów.”
W związku z tym nasi Inspektorzy Ochrony Danych rekomendują:
- Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych przy ocenie charakteru i wagi naruszenia, a tym samym ocenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Przy ocenie należy wziąć pod powagę naruszenia w kontekście wielkości szkody, jakie może ono spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwo wystąpienia tego zdarzenia będącego skutkiem naruszenia. Poza tym konieczne jest uwzględnienie czy ujawnione dane dotyczą szczególnej kategorii danych (tzw. dane wrażliwe np. informacje o stanie zdrowia), czy dotyczą dzieci, jak duża ilość danych osobowych została ujawniona i ilu osób dotyczy.
- Sukcesywne przekazywanie informacji o naruszeniu Organowi Nadzorczemu, jeżeli nie dysponujemy w 100% informacjami dotyczącymi danego naruszenia danych osobowych. Ważne, żeby wstępnego zgłoszenia naruszenia ochrony danych osobowych dokonać w ciągu 72 godzin od stwierdzenia naruszenia.
- Niezwłoczne podejmowanie działań mających na celu weryfikację i monitorowanie etapów doręczania przesyłek kurierskich oraz pocztowych tak, aby w możliwie najkrótszym terminie stwierdzić naruszenie ochrony danych osobowych, co z kolei ma decydujące znaczenie dla ustalenia, czy w danym przypadku obowiązek zgłoszenia naruszenia oraz zawiadomienia osób ma zastosowanie.
Więcej o naruszeniach ochrony danych osobowych możecie Państwo przeczytać w artykule mojego kolegi Patryka Makowskiego na naszym blogu. Serdecznie polecam.
Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.
Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.