Początek nowego roku to dobry moment na podsumowania. Postanowiliśmy przygotować zestawienie wszystkich wydanych w 2019 roku przez Prezesa UODO decyzji administracyjnych nakładających kary finansowe za naruszenia przepisów o ochronie danych osobowych.
W roku 2018 nie doczekaliśmy się pierwszej w Polsce kary pieniężnej za naruszenia przepisów RODO. Było to zgodne z zapewnieniami przedstawicieli organu nadzorczego, iż pierwsze półrocze stosowania przepisów RODO będzie spokojne pod względem prowadzonych działań kontrolnych Urzędu. Aczkolwiek część decyzji podjętych w roku 2019 jest pokłosiem zdarzeń, które miały miejsce już w roku 2018.
Ochrona danych osobowych - kary finansowe
W ciągu całego ubiegłego roku Urząd Ochrony Danych Osobowych nałożył kary finansowe za naruszenia przepisów na pięciu administratorów danych (czterech z sektora prywatnego oraz jeden z sektora publicznego):
- Bisnode Sp. z o.o.
- Dolnośląski Związek Piłki Nożnej
- Morele net Sp. z o.o.
- ClickQuickNow Sp. z o.o.
- Burmistrz Aleksandrowa Kujawskiego
Łączna wartość kar to prawie 4 000 000 zł. Zgodnie z art. 104 Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku, kwota ta zasili budżet państwa.
Każdy przypadek rozpoczynamy omówieniem kontekstu stwierdzonych naruszeń, gdzie wskazujemy okoliczności i wyniki postępowań kontrolnych. W większości przypadków zamieściliśmy również stanowisko ukaranego podmiotu. Każdy przypadek kończy się komentarzem autora, w którym przedstawiamy wnioski, jakie można wywieść z danej sytuacji.
Opisane w artykule przypadki to nie wszystkie decyzje Prezesa UODO o nałożeniu kary finansowej. Na jednej z konferencji organizowanych ostatnio we współpracy z Urzędem Ochrony Danych Osobowych, organ ujawnił informację o trzech, jak dotąd bliżej nieznanych, decyzjach nakładających mniejsze kary finansowe za naruszenia przepisów RODO. Decyzje na dzień publikacji artykułu nie były jeszcze dostępne na stronie internetowej organu. Zgodnie z zapowiedziami przedstawiciela UODO, mają one zostać opublikowane do końca miesiąca, a dotyczą :
- Wspólnoty mieszkaniowej (kara finansowa w wysokości 1973 zł),
- Spółki zarządzającej nieruchomościami (kara finansowa w wysokości 8148 zł),
- Spółki zajmującej się ochroną osób i mienia (kara finansowa w wysokości 30 019,50 zł).
Gdy tylko decyzje zostaną przez organ opublikowane, niniejszy artykuł zostanie zaktualizowany o te informacje.
Ukarany podmiot: Bisnode Sp. z o.o.
Wysokość kary: 943 470 zł
Decyzja z dnia: 15 marca 2019
Kontekst stwierdzonych naruszeń:
Niespełnienie obowiązku informacyjnego (art. 14 RODO) wobec przeważającej części osób fizycznych, których dane osobowe spółka przetwarzała w terminie przeprowadzonego postępowania kontrolnego. Przypomnijmy, iż Bisnode Sp. z o.o. w ramach swojej działalności oferuje raporty gospodarcze na temat wiarygodności finansowej przedsiębiorstw. W tym celu przetwarza dane osobowe z publicznie dostępnych rejestrów, takich jak CEIDG. Spółka po pozyskaniu danych nie spełniła obowiązku informacyjnego wobec przedsiębiorców, którzy nie udostępnili adresów poczty elektronicznej.
Stanowisko Spółki:
W swoim oświadczeniu, Bisnode Sp. z o. o. zakwestionowała stanowisko UODO dotyczące braku podstaw do powoływania się na wyłączenie od realizacji obowiązku informacyjnego, o którym mowa w art. 14 ust. 5 lit. b RODO. Przepis ten stanowi, iż wyłączenie będzie miało miejsce w sytuacji, w której udzielenie wymaganych przez RODO informacji okaże się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Spółka stoi na stanowisku, iż żądanie spełniania obowiązku informacyjnego wobec osób, które nie udostępniły adresu e-mail nie może być postrzegane jako podejmowanie proporcjonalnych starań.
Komentarz autora:
Pierwsza decyzja o ukaraniu organizacji za nieprzestrzeganie przepisów RODO − czy Prezes UODO zbyt surowo potraktowała spółkę? Na pierwszy rzut oka można odnieść wrażenie, iż kara była zbyt wysoka, gdyż przecież administrator nie dopełnił obowiązku informacyjnego „tylko” wobec osób, których dane i tak są dostępne w publicznych rejestrach. Jednakże po pierwsze należy podkreślić, iż skala zaniechania była duża − ponad 6 mln osób fizycznych prowadzących działalność gospodarczą nie zostało poinformowanych o fakcie przetwarzania. Po drugie należy wskazać, iż brak wiedzy o tym, iż spółka przetwarza dane osobowe sprawia, iż osoby, których to dotyczy nie mogą skorzystać z praw przysługujących na mocy RODO np. prawa do sprzeciwu lub prawa do sprostowania danych, co – jak uznała ówczesna Prezes UODO dr Edyta Bielak−Jomaa – stanowi poważne naruszenie, gdyż uderza ono w podstawowe prawa i wolności osób fizycznych.
Biorąc po uwagę ogólną dostępność danych oraz to, że osobami, których dane dotyczą są przedsiębiorcy, można byłoby spodziewać się tylko niewielkiej ilości ewentualnych wniosków o realizację praw przysługujących im na mocy RODO. Nic bardziej mylnego − jak poinformował UODO − „spośród około 90 tys. osób, których spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych”, co tylko potwierdza wagę naruszenia.
Na koniec warto wspomnieć, iż po 9 miesiącach od wydania decyzji przez Prezesa UODO sprawa ukarania spółki Bisnode miała swoją kontynuację w Wojewódzkim Sądzie Administracyjnym w Warszawie (WSA).
Szczegóły wyroku WSA w sprawie Bisnode:
Wyrokiem z dnia 11.12.2019 r. (II SA/Wa 1030/19) WSA uchylił pkt 1 decyzji Prezesa UODO w zakresie nakazu dopełnienia obowiązku informacyjnego wobec osób, które zawiesiły lub zakończyły działalność oraz pkt 2 decyzji w zakresie nałożenia administracyjnej kary pieniężnej oraz oddalił skargę spółki w pozostałym zakresie.
W uzasadnieniu WSA wskazał, iż decyzja została wydana z naruszeniem przez organ nadzorczy prawa procesowego, co w konsekwencji mogło mieć istotny wpływ na wynik sprawy.
WSA stwierdził, iż organ nie dokonał żadnych ustaleń, co do faktycznej możliwości wykonania przez spółkę obowiązku informacyjnego z uwzględnieniem konieczności osiągnięcia rzeczywistego celu jego realizacji. UODO nie zweryfikował bowiem, czy faktycznie istnieje możliwość dotarcia z informacjami do osób, które prowadziły działalność w przeszłości.
Powyższe niedopatrzenie organu może mieć istotne przełożenie na wysokość nałożonej kary administracyjnej z uwagi na dużą skalę danych (ok. 2,33 mln) osób nie prowadzących już działalności gospodarczej. Dlatego WSA zlecił UODO ponowne rozpoznanie sprawy z uwzględnieniem wskazanych w wyroku wytycznych.
Uzupełniając powyższe, WSA zlecił organowi zbadanie, czy w ogóle powinna ona przetwarzać dane osób prowadzących działalność w przeszłości, wskazując na ryzyko naruszenia art. 5 ust. 1 RODO (zasady przetwarzania danych w zgodzie z przepisami prawa, w sposób rzetelny oraz przejrzysty) oraz naruszenia zasady prawidłowości przetwarzanych danych (art. 5 ust. 1 lit. d RODO). Jak łatwo się domyślić, wynik tej kontroli UODO raczej nie będzie dla spółki pozytywny.
Warto wskazać również, iż w uzasadnieniu WSA:
- zgodził się ze spółką stwierdzając, iż UODO nie mógł kierować się przy określaniu wysokości administracyjnej kary pieniężnej chęcią realizacji celu, wobec innych administratorów − zamiaru odstraszenia wysokością kary innych administratorów przed naruszeniami przepisów RODO;
- zgodził się z UODO ze stwierdzeniem, iż w tym przypadku samo umieszczenie informacji, wymaganych w art. 14 RODO, na stronie internetowej spółki, nie może być uznane za wystarczające spełnienie obowiązku informacyjnego;
- podjął próbę interpretacji wyłączenia z realizacji obowiązku informacyjnego, o który mowa w art. 14 ust. 5 lit b RODO w zakresie definicji niewspółmiernego wysiłku − sąd jednoznacznie stwierdził, iż w przytoczonym przepisie nie chodzi o koszty finansowe jakie administrator może ponieść w wyniku realizacji obowiązku informacyjnego, ale o „trudność rzeczywistą w tym, aby w ogóle mieć możliwość jego realizacji”. Ponadto sąd stwierdził, iż w przytoczonym wyłączeniu z realizacji obowiązku informacyjnego chodzi o ustalenie czy wysiłek, jaki musiałby zostać poniesiony, aby w ogóle wypełnić obowiązek informacyjny, jest tak znaczny, że przeważa nad prawami osób fizycznych wynikającymi z przepisów RODO.
Wyrok WSA w sprawie Bisnode nie jest prawomocny, więc spółce przysługuje jeszcze odwołanie do wyższej instancji tj. Naczelnego Sądu Administracyjnego. Jednakże do dnia publikacji poniższego artykułu, brak jest informacji, czy w ogóle spółka podejmie decyzję o złożeniu skargi kasacyjnej.
Ukarany podmiot: Dolnośląski Związek Piłki Nożnej
Wysokość kary: 55 750,50 zł
Decyzja z dnia: 25 kwietnia 2019
Kontekst stwierdzonych naruszeń:
W ramach przeprowadzonego postępowania kontrolnego stwierdzono:
- niezapewnienie należytego bezpieczeństwa i poufności przetwarzanych danych osobowych tj. osób, którym przyznano licencje sędziowskie w roku 2015 − Związek Piłki Nożnej w sposób nieuprawniony ujawnił na swojej stronie internetowej dane osobowe w zakresie: numeru PESEL oraz adresu zamieszkania;
- nieskuteczne próby usunięcia powyższego naruszenia − od chwili dokonania zgłoszenia do organu nadzorczego naruszenia do wszczęcia postępowania administracyjnego (okres około 6 miesięcy) Związek Piłki Nożnej nie dopilnował, aby podmiot administrujący stroną internetową faktycznie usunął nadmiarowe dane oraz w żaden sposób nie potwierdził skuteczności zleconych usługodawcy działań.
Komentarz autora:
Nie można mieć wątpliwości, co do słuszności decyzji Prezesa UODO w powyższej sprawie. Związek w wyniku niedochowania należytej staranności przy przetwarzaniu danych osobowych doprowadził do naruszenia ich ochrony, co mogło skutkować naruszeniem praw i wolności osób dotkniętych naruszeniem.
Ponadto − jak wynika z treści decyzji − należy zwrócić uwagę na to, iż w oczach organu nadzorczego fakt zgłoszenia przez administratora naruszenia ochrony danych osobowych nie stanowi okoliczności łagodzącej dla przyznania kary, gdyż działanie to jest wymagane przepisem prawa. Ponadto, przed otrzymaniem kary finansowej za naruszenie przepisów RODO nie uchroni nawet fakt prowadzenia działalności w celach niezarobkowych.
Ukarany podmiot: Morele net Sp. z o.o.
Wysokość kary: 2 830 410 zł
Decyzja z dnia: 10 września 2019
Kontekst oraz stwierdzone naruszenia:
Morele net Sp. z o.o. to firma, której branża w Polskiej Klasyfikacji Działalności (PKD) została sklasyfikowana jako: sprzedaż sprzętu komputerowego i akcesoriów. UODO wszczęło postępowanie w wyniku zgłoszenia przez spółkę naruszenia ochrony danych osobowych.
Zasadnicza część decyzji dotyczy zastrzeżeń Prezesa UODO do środków ochrony danych osobowych stosowanych przez ukaraną spółkę. Organ zarzuca spółce stosowanie niewystarczających środków technicznych i organizacyjnych do istniejących zagrożeń, co doprowadziło do dwukrotnego uzyskania dostępu do danych (w wyniku ataku hackerskiego) około 2 200 000 osób. Jak wskazano w decyzji, spółka pomimo deklarowanego monitorowania systemu sieciowego i reagowania 24/7 nie wykryła zwiększonego ruchu sieciowego, co w ocenie organu stanowi okoliczność zasługującą na szczególną naganę.
Stanowisko spółki:
W swoim oświadczeniu (usunięte już ze strony internetowej) spółka wskazuje, iż nie zgadza się z oceną UODO, co do jedynie częściowego zapewniania odpowiednich środków zabezpieczenia przetwarzania danych oraz naruszenia zasad przy przetwarzaniu danych pochodzących z wniosków ratalnych. Zdaniem spółki postawione zarzuty powinny zostać zweryfikowane przez niezależnych biegłych (w treści decyzji można przeczytać, iż w czasie postępowania kontrolnego spółka właśnie o to wnioskowała, jednakże Urząd swoim postanowieniem ów wniosek odrzucił bez podawania przyczyny). Spółka oceniła, iż stosowane przez nią zabezpieczenia nie odbiegały od standardów rynkowych, a w wielu miejscach je przewyższały. Dlatego spółka będzie korzystała z dostępnych dróg odwoławczych.
Komentarz autora:
Jest to druga kara nałożona przez UODO w wyniku stwierdzenia naruszenia art. 32 RODO tj. braku zapewnienia odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych. W porównaniu do decyzji w sprawie ukarania związku sportowego, decyzja w sprawie ukarania Morele.net w wielu miejscach przyjmowała charakter techniczny. Organ przytaczał normy oraz standardy dotyczące m.in. kontroli dostępu i procesu uwierzytelniania, szacowania ryzyka oraz monitorowania zdarzeń w systemach IT. Dlatego informacje zawarte w treści decyzji mogą okazać się wartościowe dla osób odpowiedzialnych w organizacji za ochronę danych osobowych.
Warto podkreślić, iż istotne znaczenie przy przeprowadzaniu analizy ryzyka przetwarzania danych osobowych w celu określania środków ich ochrony ma skala (ilość danych) oraz zakres. Duża skala przetwarzania bowiem przekładać się może nie tylko na ilość poszkodowanych osób, czy dotkliwość negatywnych skutków naruszenia ochrony danych dla osób fizycznych. Zwiększa również prawdopodobieństwo zmaterializowania się zagrożeń, gdyż duża baza danych jest bardziej atrakcyjna – stanowi potencjalnie większy łup dla przestępcy. Stąd też duże oczekiwania stawiane przez organ, co do zabezpieczeń przetwarzania danych osobowych w takiej sytuacji.
Na koniec warto wspomnieć, iż skala naruszenia mogłaby być znacznie mniejsza, gdyby spółka umożliwiałaby dokonywanie zakupów w ich sklepie online bez potrzeby zakładania konta. Wówczas prawdopodobnie baza użytkowników nie byłaby tak duża.
Ukarany podmiot: ClickQuickNow Sp. z o.o.
Wysokość kary: 201 559,50 zł
Decyzja z dnia: 16 października 2019
Kontekst stwierdzonych naruszeń:
Spółka ClickQuickNow to organizacja świadcząca usługi w zakresie działań marketingowych. W lutym 2019 roku UODO wszczął postępowanie kontrolne wskutek kierowanych do niego skarg osób fizycznych, dotyczących braku możliwości odwołania zgody na przetwarzanie danych osobowych. Celem kontroli była weryfikacja zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W wyniku przeprowadzonych działań kontrolnych Prezes UODO miał zastrzeżenia m.in. do:
- procesu wycofywania zgód na przetwarzanie danych osobowych − w ocenie UODO spółka nie sprostała wymogom art. 7 ust. 3 RODO („Wycofanie zgody musi być równie łatwe jak jej wyrażenie”). Osoby, których dane były przetwarzane przez spółkę wyrażały zgodę na przetwarzanie danych osobowych za pośrednictwem formularza elektronicznego znajdującego się na stronie internetowej spółki, a jej wycofania mogły dokonać (teoretycznie) za pośrednictwem linku umieszczonego w wysyłanych wiadomościach e-mail lub wiadomościach SMS, a także w rozmowach telefonicznych za pośrednictwem wskazanego w rozmowie adresu e-mail. Przy czym Urząd ustalił, iż formularz elektroniczny wprowadzał w błąd osoby fizyczne i nie dawał możliwości skutecznego wycofania zgód − link zawarty w formularzu przekierowywał do strony internetowej, w której osoba musiała podać przyczynę wycofania zgody, a po udzieleniu odpowiedzi osoba była przekierowywana na kolejną stronę internetową, gdzie wskazane zostały wskazówki jak można wycofać zgodę tj. wysłać e-mail na wskazany adres, określając dokładnie oczekiwania wobec spółki;
- bezprawnego wymuszania na osobach, których dane dotyczą podawania przyczyny wycofania zgody na przetwarzanie danych osobowych;
- ignorowania wniosków osób fizycznych dotyczących realizacji praw przysługujących na mocy RODO − zarzut dotyczył sytuacji, w których osoby fizyczne wysyłały drogą mailową żądania wycofania zgody na przetwarzanie danych osobowych nie podając przy tym dodatkowych danych identyfikacyjnych. W takich przypadkach zamiast podjęcia próby identyfikacji wnioskodawcy, spółka pozostawiała wiadomości bez odpowiedzi.
Stanowisko spółki:
Sprawa będzie miała swoją kontynuację w Sądzie Administracyjnym, gdyż Spółka oświadczyła (wpis został usunięty), iż nie zgadza się z ustaleniami stanowiącymi podstawę decyzji oraz z treścią jej uzasadnienia i złoży stosowne odwołanie.
Komentarz od autora:
To nie pierwsza kara jaką otrzymał ClickQuickNow Sp. z o.o. od polskiego urzędu za naruszenie przepisów prawa. W 2012 roku UOKiK, decyzją z dnia 24 października, nałożył karę pieniężną w wysokości przekraczającej 23 000 zł za wprowadzanie konsumentów w błąd − regulaminy organizowanych przez spółkę konkursów nie zawierały istotnych informacji określających warunki uczestnictwa.
W odniesieniu do ukarania spółki przez Prezesa UODO warto wskazać, iż podstawą jej ukarania była głównie niewłaściwa realizacja praw osób fizycznych. Nakładając na spółkę karę finansową, Urząd tym działaniem podkreślił wagę jaką organizacje powinny przypisywać temu obszarowi zagadnień.
Ukarany podmiot: Burmistrz Aleksandrowa Kujawskiego
Wysokość kary: 40 000 zł
Decyzja z dnia: 18 października 2019
Kontekst stwierdzonych naruszeń:
Urząd przeprowadził kontrolę zgodności przetwarzania danych osobowych z przepisami ochrony prawa. Zakresem kontroli objęto sposób przetwarzania danych osobowych w ramach realizowania procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej, a także sposób prowadzenia rejestru czynności przetwarzania danych osobowych oraz dokumentowania naruszeń ochrony danych osobowych. W ramach przeprowadzonego postępowania kontrolnego UODO stwierdził:
- brak zawarcia umów powierzenia z podmiotami, którym przekazywane były dane osobowe (np. podmiotowi odpowiedzialnemu za prowadzenie Biuletynu Informacji Publicznej [BIP]);
- brak procedur wewnętrznych zapewniających przegląd danych przetwarzanych w BIP w zakresie ograniczenia ich przechowywania;
- brak wykonanych kopi zapasowych zarejestrowanych materiałów video z posiedzeń Rady Miejskiej, co stanowi ryzyko utraty dostępu, w przypadku utraty danych zamieszczonych na stronie YouTube;
- braki w prowadzonym rejestrze czynności przetwarzania w zakresie informacji wymaganych art. 30 RODO, np. nie wskazano odbiorców danych, podmiotów przetwarzających dane, terminów usunięcia danych;
- brak współpracy administratora po wszczęciu postępowania kontrolnego − brak odniesienia się do naruszeń wskazanych w zawiadomieniu o wszczęciu postępowania kontrolnego.
Stanowisko Urzędu Miasta Aleksandrowa Kujawskiego:
W informacji prasowej dotyczącej decyzji Prezesa UODO wskazano, iż Burmistrz miasta Aleksandrów Kujawski nie zgadza się z zarzutami mu postawionymi i za pośrednictwem swoich pełnomocników zaskarżył decyzję w całości do Wojewódzkiego Sądu Administracyjnego.
Komentarz autora:
Jest to pierwsza kara nałożona przez Prezesa UODO na podmiot publiczny. Podstawy ukarania informują organizacje o tym, jak ważne jest dopełnienie formalności w zakresie współpracy z podmiotami przetwarzającymi. Brak stosownych uregulowań spełniających wymagania art. 28 może skutkować (jak to miało miejsce w powyższym przypadku) postawieniem zarzutów bezprawnego udostępnienia danych osobowych, co stanowi naruszenie zasady zgodności z prawem (art. 5 ust. 1 lit. a RODO) oraz brak podstawy przekazanie danych (art. 6 ust. 1 RODO).
Podsumowanie
Prawie wszystkie wydawane przez organ nadzorczy w roku 2019 decyzje dotyczące nałożenia kar pieniężnych budziły kontrowersje w zakresie podstaw ukarania lub wysokości przyznanej kary. Chyba najwięcej dyskusji zrodziła decyzja Prezesa UODO w sprawie spółki Bisnode, gdyż była to pierwsza kara za naruszenia przepisów RODO, dotyczyła podmiotu przetwarzającego dane osobowe publicznie dostępne oraz niespełnienia obowiązku informacyjnego wobec części osób, których dane dotyczą. Przy czym spółka (jakby mogło się wydawać) sensownie powołała się na zawarte w RODO wyłączenie wypełnienia tego obowiązku.
Za najbardziej spektakularną karę nałożoną przez Prezesa UODO bezkonkurencyjnie można uznać przypadek Morele Net. Głównie z powodu wysokości kary, a mogłaby być ona jeszcze wyższa, gdyby nie fakt, że spółka bardzo dobrze współpracowała z organem nadzorczym i jeszcze w czasie toczącego się postępowania kontrolnego wdrożyła dodatkowe środki zabezpieczające.
Zastanawiające jest co przyniesie nam nadchodzący rok. W listopadzie ubiegłego roku, UODO poinformował o nowej strukturze organu, która ma zapewnić większą skuteczność działań przez niego realizowanych, co sprostać ma stale rosnącej liczbie skarg składanych przez osoby fizyczne.
Ochrona danych osobowych – kolejne kontrole:
W tym roku, zgodnie z sektorowym planem kontroli (wpis został usunięty ze strony UODO) opublikowanym przez UODO, na celowniku organu są:
- organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, w tym audyt bezpieczeństwa SISII/VIS: konsulaty i organy administracji skarbowej w zakresie przetwarzania danych osobowych SISII i VIS;
- banki − przetwarzanie danych osobowych w związku ze sporządzaniem kopii / skanów dokumentów tożsamości klientów i potencjalnych klientów;
- podmioty korzystające z systemu zdalnego odczytu wodomierzy (tzw. inteligentne liczniki).
wodawfirmie 19 kwietnia, 2020
Naprawdę dobrze napisane. Chcę podziękować za Twój trud. Mam nadzieję, że będzie więcej takich wpisów 🙂 Po prostu super. Będę częściej zaglądał.
Patryk Siewert, członek zespołu Soczko & Partnerzy 21 kwietnia, 2020
Dziękujemy za miłe słowa. Proszę się zapisać do naszego Newslettera. Nasi subskrybenci, co miesiąc otrzymują informacje dotyczące ciekawych nowinek z obszaru ochrony danych, w tym dotyczące działalności Urzędu Ochrony Danych Osobowych oraz organów nadzorczych z innych krajów UE. Zapraszamy ?