Na czym polegało naruszenie?
Firma kurierska zagubiła korespondencję zawierającą dane takie jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.
Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?
Prezes Urzędu Ochrony Danych Osobowych nałożył na Bank Millenium S.A. karę w wysokości ponad 363 tys. zł.
Dlaczego nałożono karę?
Źródłem powiadomienia dla Urzędu Ochrony Danych Osobowych (UODO) była skarga złożona na działania Banku. Jednak skarżący otrzymali wcześniej informację od Banku o zaistniałym zdarzeniu. Dlaczego więc nałożono karę?
Otóż Bank w swoim wyliczeniu dot. ryzyka negatywnych konsekwencji dla osób, których naruszenie dotyczyło, uznał je na poziomie średnim. Na tej podstawie została podjęta decyzja o niezgłaszaniu tego naruszenia do UODO.
Tymczasem, zgłoszeniu podlegają wszystkie te zdarzenia, przy których istnieje prawdopodobieństwo wyższe od małego szkodliwego wpływu na prawa i wolności osób, których dane dotyczą. Z kolei przy ryzyku wysokim, należy dodatkowo powiadomić osoby, których to naruszenie dotyczy.
Naruszone zostały przepisy art. 33 ust. 1 (zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu) i art. 34 ust. 1 (zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych) ogólnego rozporządzenia o ochronie danych (RODO).
UODO przypomniał przykładowy katalog ryzyk, które należy brać pod uwagę przy ocenie naruszenia:
- kradzież lub sfałszowane tożsamości,
- straty finansów,
- naruszenie dobrego imienia,
i zaznaczył parę kwestii (wybrane fragmenty):
„obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.”
„nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się
z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, które z uwagi na zakres danych należy uznać jako wysokie”.
„zjawisko kradzieży tożsamości wciąż się nasila, o czym świadczą wpływające nieustannie do Urzędu sygnały od osób poszkodowanych, jak również administratorów zgłaszających naruszenia w tym zakresie.”
Pod koniec uzasadnienia swojej decyzji, organ nadzorczy wskazał okoliczności, które miały wpływ na wysokość kary:
- Charakter i waga naruszenia,
- Czas trwania naruszenia,
- Umyślny charakter naruszenia,
- Stopień współpracy z organem nadzorczym,
- Kategorie danych osobowych,
- Sposób w jaki organ nadzorczy dowiedział się o naruszeniu,
i dwie okoliczności łagodzące:
- Liczba poszkodowanych osób (2 osoby),
- Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
Rekomendacje naszych Inspektorów ochrony danych
- Należy mieć wdrożoną i trzeba stosować dokumentację związaną z postępowaniem dot. naruszeń ochrony danych osobowych. Przykładowo może to być Instrukcja postępowania związana z naruszeniami ochrony danych, która po krok po kroku, będzie wskazywać jak się zachować, kogo powiadomić itp. Dotyczy to również przygotowania metodyki oceniania takich zdarzeń w oparciu o zobiektywizowane wartości (np. algorytm ENISA). Wnioski
z przeprowadzonej analizy należy udokumentować, gdyż UODO może zwrócić się
o uzasadnienie decyzji niezgłoszenia naruszenia. - Należy, z punktu widzenia osoby, która stwierdziła naruszenie, zawsze zawiadomić w pierwszej kolejności Administratora i Inspektora ochrony danych (jeśli został wyznaczony w Organizacji) lub osobę wyznaczoną. To są pierwsze punkty kontaktowe, które pozwalają wyjaśnić sprawę
i podjąć odpowiednie środki naprawcze. - Należy pamiętać, aby takie zdarzenia analizować przez pryzmat osób, których dane dotyczą,
a więc priorytetem są konsekwencje jakie mogą spotkać właśnie te osoby. Nie powinniśmy brać tutaj pod uwagę potencjalnych dolegliwości dla Administratora i jego interesów (np. czasu i osób potrzebnych do „obsługi” tego zdarzenia). Postępujmy tak, jakbyśmy sami chcieli, żeby ktoś postąpił z naszymi danymi w takiej sytuacji. - PESEL jest taką kategorią danych, że gdy pojawia się przy naruszeniu ochrony danych, to
z dużym prawdopodobieństwem należy przyjąć, że to naruszenie należy zgłosić do Prezesa UODO. Jak Urząd sam wskazał, PESEL, jako krajowy numer identyfikacyjny, powinien podlegać wyjątkowej ochronie. - Należy zapewnić personelowi cykliczne szkolenia z zakresu naruszeń ochrony danych osobowych, najlepiej na konkretnych przykładach takich zdarzeń.
- Rekomendujemy, aby w sytuacjach wątpliwych „zawyżać” ryzyko, czyli np. mając wątpliwość pomiędzy ryzykiem niskim i średnim, kierować się raczej w stronę tego wyższego wskaźnika (nawet jeśli okazałoby się, że było to działanie nadmiernie ostrożnościowe).
- Rekomendujemy śledzić działalność UODO, czy to we własnym zakresie, czy konsultując się ze specjalistami w tej dziedzinie (np. wyznaczonym Inspektorem ochrony danych). Urząd
w swoich publikacjach (np. informacjach na stronie internetowej, sprawozdaniach rocznych) wskazuje sytuacje naruszeń, które powinny nam służyć do rozeznania się jakie zdarzenia podlegają zgłoszeniu, a które z nich dodatkowo wymagają jeszcze poinformowania osób. To powinno znacznie ułatwiać dokonanie trafnej oceny zdarzenia. - Rekomendujemy Państwu szczególną dbałość w opisywanym wyżej przedmiocie, gdyż niewłaściwe działania mogą istotnie wpływać na postrzeganie naszej Organizacji w oczach osób, których dane przetwarzamy.
Dbajmy zatem o dane. Skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.
Autor: Patryk Makowski, Kierownik Projektu, CompNet Sp. z o.o.
Więcej można przeczytać na: https://uodo.gov.pl/pl/138/2211