Kolejny rok przyniósł dużo zmian, nowości i wyzwań w ochronie danych osobowych. 25 maja jest idealnym dniem na krótkie podsumowanie mijającego kolejnego roku pod panowaniem RODO.
Wzorem roku ubiegłego, CompNet przygotował dla Was podsumowanie TOP 5. Ciekawi? To zaczynamy!
1. Zmiany w przepisach o kasach zapomogowo-pożyczkowych
Chciałbyś zweryfikować te kwestie w swoim zakładzie pracy? A może zastanawiasz się, jak wdrożyć nowe przepisy KZP i potrzebujesz wsparcia specjalisty? Zwróć się do CompNet z zapytaniem o audyt ochrony danych osobowych przetwarzanych w KZP, a na pewno się nie zawiedziesz!
2. Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych
30 marca br. Urząd Ochrony Danych Osobowych w komunikacie umieszczonym na swojej stronie internetowej zwrócił uwagę na kluczową kwestię: funkcjonowanie inspektora ochrony danych w organizacji. Inspektor ochrony danych odgrywa bowiem bardzo ważną rolę w zapewnieniu skutecznego systemu ochrony danych osobowych, u administratora oraz prawidłowości procesów przetwarzania danych osobowych. Organ nadzorczy opublikował checklistę pytań, które „korzystając ze swoich uprawnień -będzie kierował (…) do administratorów i podmiotów przetwarzających, zarówno z sektora publicznego, jak i prywatnego.” Warto więc wcześniej obiektywnie ocenić kwestie dotyczące prawidłowego wyznaczenia i funkcjonowania inspektora w swojej organizacji, zgłoszenia IOD do Prezesa UODO, miejsca IOD w strukturze organizacyjnej oraz podległości służbowej, a także wykonywania przez IOD innych zadań w organizacji i ich wpływu na pełnienie funkcji IOD. Odpowiedzi na pytania wskazane w komunikacie należy poszukać bezpośrednio w normach prawnych regulujących status i zadania IOD tj. w art. 37-39 RODO, wytycznych Grupy Roboczej Art. 29 oraz wskazówkach organu nadzorczego. Warto wcześniej przeprowadzić rzetelną analizę tego zagadnienia, żeby nie być zaskoczonym, gdy Prezes UODO o to nas zapyta. Pamiętajmy, że w kwestii prawidłowego funkcjonowania i wykonywania przez inspektora zadań, również ma zastosowanie zasada rozliczalności, o której mowa w art. 5 ust. 2 RODO. To administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie – również tych dotyczących inspektora ochrony danych.
3. Relacja administrator – podmiot przetwarzający – o co chodzi?
Pamiętamy na pewno, jak w ubiegłym roku UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył maksymalną administracyjną karę pieniężną w wysokości 100 tys. zł na podmiot publiczny – Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora. Pisaliśmy o tym na naszym blogu. KSSIP odwołała się od decyzji organu nadzorczego próbując udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym. To pracownik tej firmy wykonał na zlecenie administratora kopię bazy danych i pozostawił ją na serwerze. Jednak WSA w wyroku z 26 stycznia 2022 r. zgodził się z całą argumentacją, jaką przedstawił organ nadzorczy w decyzji nakładającej administracyjną karę pieniężną na KSSIP w związku z naruszeniem ochrony danych. WSA podkreślił, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Sąd zwrócił przy tym uwagę, że nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania danych osobowych. Zaznaczył, że to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania. Sąd zwrócił też uwagę, że z umowy o świadczenie usług między administratorem a podmiotem przetwarzającym, wynika odpowiedzialność administratora za bezpieczeństwo, który w razie konieczności korzysta z pomocy podmiotu przetwarzającego.
Czy bezwzględnie zawsze tylko administrator za to odpowiada?
Inną pamiętną karą była kara ponad 1 mln PLN nałożona na spółkę ID Finance Poland (właściciela portalu pożyczkowego MoneyMan.pl). Zdaniem UODO Spółka nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów (140 699 osób). Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych.
WSA uchylił zaskarżoną decyzję i orzekł, że odpowiedzialność ponosi podmiot przetwarzający dane. W procesie przetwarzania danych uczestniczył zarówno administrator, jak i procesor. Sąd uznał, że nie można postawić zarzutów niedopełnienia obowiązków w zakresie stwierdzenia i zgłoszenia naruszenia wyłącznie ID Finance, bowiem Spółka nie miała bezpośredniego wpływu na powstanie naruszenia. Samo naruszenie spowodowane było działaniem podmiotu przetwarzającego. Z jego strony nie było odpowiednio szybkiej reakcji na informację o luce bezpieczeństwa (błędne działanie serwera, związane z jego wcześniejszym restartem).
Już te dwie sprawy pokazują jak relacje administrator – podmiot przetwarzający są skomplikowane i jak dogłębnie trzeba wczytać się w poszczególne przepisy RODO, aby tę relację prawidłowo unormować. Pokazuje to też kolejna decyzja UODO …
4. Rekordowa kara ponad 4,9 mln zł dla administratora za naruszenie ochrony danych oraz kara ponad 250 tys. zł dla podmiotu przetwarzającego
Administrator danych, Spółka Fortum Marketing and Sales Polska S.A., w kwietniu 2020 roku zgłosił Prezesowi UODO naruszenie ochrony danych. Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zgłoszone naruszenie dotyczyć miało danych osobowych ponad 120 tys. osób oraz obejmować szereg danych zawartych w skopiowanej przez nieuprawnione podmioty bazie, w tym imiona i nazwiska, adresy zamieszkania, numery PESEL, numery dokumentów tożsamości, adresy poboru, numery telefonów, czy też szczegóły zawartych umów z odbiorcami energii. Zdaniem organu nadzorczego zawinił zarówno administrator, jak i podmiot przetwarzający – PIKA Sp. z o.o. Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy zapewnia on wystarczające gwarancje ich wdrożenia zgodnie z RODO. Natomiast podmiot przetwarzający nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności. Pełna treść decyzji jest dostępna na stronie UODO. Możemy w niej znaleźć ciekawe akapity poświęcone uzasadnieniu wysokości nałożonych kar:
- „ustalona przez Prezesa UODO kwota kary – 4 911 732 zł – stanowi jedynie 0,18 % jej obrotu osiągniętego w 2020 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Administratora za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tak dużego podmiotu jak Fortum mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.”
- „Prezes UODO zauważa, że kara orzeczona wobec PIKA może być dla niej stosunkowo bardziej dolegliwa niż kara nałożona w niniejszej sprawie na Fortum (1,19 % wobec 0,18 % rocznego obrotu), niemniej jest to uzasadnione w ocenie organu okolicznością, że to działanie PIKA, cechujące się rażącym zaniedbaniem swoich obowiązków i obowiązujących standardów, bezpośrednio doprowadziło do naruszenia ochrony danych osobowych, których administratorem jest Fortum, a w konsekwencji do naruszenia poufności tych danych (za co – naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679 – PIKA jako podmiot przetwarzający wprost nie odpowiada, a odpowiada Administrator).”
Wnioski dla nas: administratorów, podmiotów przetwarzających, inspektorów ochrony danych. Po raz kolejny nałożenie kary przez organ nadzorczy, wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń. Nasi Inspektorzy Ochrony Danych rekomendują następujące działania:
- Ocenę oraz regularne testowanie wdrożonych środków technicznych i organizacyjnych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji, audyty ochrony danych osobowych czy audyty cyberbezpieczeństwa.
- Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych, którego zadaniem jest m.in. informowanie administratora, podmiotu przetwarzającego i pracowników o obowiązkach w zakresie ochrony danych osobowych i doradzanie im w tej sprawie, a także monitorowanie przestrzegania przepisów w zakresie ochrony danych osobowych poprzez działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
Przykładem monitorowania przestrzegania przepisów o ochronie danych osobowych może być zaangażowanie Inspektora Ochrony Danych w ocenę, czy umowa powierzenia przetwarzania danych osobowych, którą administrator zawiera z podmiotem przetwarzającym, zawiera wszystkie wymagane w art. 28 ust. 3 RODO elementy oraz czy proponowany sposób ukształtowania relacji między administratorem i podmiotem przetwarzającym jest adekwatny do przedmiotu powierzenia, a także czy w sposób wystarczający i prawidłowy określono prawa i zobowiązania stron tej umowy.
5. Sygnaliści
Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych i ochrony informacji w CompNet Sp. z o.o.