Kary finansowe za naruszenia RODO – podsumowanie roku 2021

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 31 stycznia 2022

31

sty
2022

Tradycyjnie pierwszy w roku artykuł na naszym blogu zawiera podsumowanie wydanych przez Urząd Ochrony Danych Osobowych decyzji administracyjnych nakładających kary pieniężne za naruszenia przepisów RODO.

W 2021 roku organ nadzorczy z powodu pandemii COVID-19 zaniechał realizowania planowych kontroli sektorowych, więc działał głównie reaktywnie – wskutek zgłoszonych do UODO skarg oraz naruszeń.

Mimo to w ubiegłym roku urząd wydał w sumie 14 decyzji o nałożeniu kar finansowych o łącznej sumie wynoszącej ponad 2,2 mln zł. Dla porównania w roku 2020 organ nadzorczy wydał w 10 decyzji nakładających administracyjne kary pieniężne w wysokości prawie 3,5 mln zł, a w roku 2019 tylko 8 decyzji w łącznej wysokości wynoszącej ponad 4 mln. Łączna wysokość nałożonych do tej pory przez UODO administracyjnych kar finansowych jest bliska 10 mln zł.

Gdybyśmy chcieli pokusić się o wskazanie trendów w działalności UODO, można byłoby stwierdzić, że organ nakłada coraz więcej kar pieniężnych, ale maleje ich wysokość.

Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2021 roku

Z 14 decyzji UODO o ukaraniu organizacji przetwarzających dane osobowych:

  • 3 dotyczyły podmiotów publicznych (w tym wysokość jednej z nich stanowiła maksymalną karę jaką organ nadzorczy mógł nałożyć na podmiot publiczny);

  • 1 dotyczyła działalności prowadzonej przez osobę fizyczną;

  • aż 7 wydanych zostało wskutek wpłynięcia skarg od osób fizycznych;

  • aż 11 wydanych zostało w związku z naruszeniami ochrony danych.

Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO

1) Śląski Uniwersytet Medyczny w Katowicach

Wysokość kary: 25 000 PLN
Decyzja Prezesa UODO z dnia 5-tego stycznia 2021 r.

Naruszenie polegało na udostępnieniu na platformie elektronicznej nagrań obrazujących przebieg egzaminów różnych grup studenckich (przynajmniej 6-ciu), które były dostępne po zakończonym egzaminie, Oprócz samego egzaminu na nagraniach utrwalone zostały legitymacje studenckie oraz dowody osobiste (w zależności od tego jakim dokumentem legitymował się uczestnik egzaminu).

Co więcej, okazało się, że dostęp do nagrań nie został właściwie ograniczony nawet wobec osób spoza uczelni – każda osoba posiadająca stosowny link mogła obejrzeć nagrania z przebiegu egzaminu, w tym mieć wgląd w dane osobowe.

W ocenie uczelni ryzyko naruszenia praw i wolności osób, których dotyczyło naruszenie ochrony danych osobowych było niskie. Dlatego zaniechano informowania organu nadzorczego o naruszeniu oraz zawiadamiania osób, których naruszenie dotyczyło. Ponadto uczelnia wskazała, że osoby, które pobrały plik z nagraniem egzaminu zostały zidentyfikowane oraz pouczone o odpowiedzialności za ewentualne nieuprawnione posługiwanie się tymi danymi.

Z uwagi na to, że nagrania zawierały dane dotyczące dokumentów tożsamości oraz nie było pewności, ile tak naprawdę osób uzyskało dostęp do danych (uczelnia twierdziła, iż było ich tylko 26, ponieważ tyle osób pobrało plik, ale urząd podważył to stanowisko stwierdzeniem, że nie ma pewności, że nagrania nie zostały dalej udostępnione nieuprawnionym osobom). Urząd uznał, iż uczelnia nie dopełniła obowiązków związanych ze zgłoszeniem naruszenia do organu nadzorczego oraz powiadomieniem osób, których dane osobowe zostały naruszone i nałożył na uczelnię karę w wysokości 25 000 zł.

2) Osoba fizyczna prowadząca działalność gospodarczą w zakresie ochrony zdrowia

Wysokość kary: 85 588 PLN
Decyzja Prezesa UODO z dnia 5-tego stycznia 2021 r.

Sprawa rozpoczęła się jeszcze w 2019 roku, kiedy przedsiębiorca zgłosił do organu nadzorczego naruszenie ochrony danych osobowych, które polegało na nieuprawnionym skopiowaniu danych osobowych stu pacjentów z systemu informatycznego administratora przez byłego pracownika, celem wykorzystania ich do marketingu własnych usług.

W zgłoszeniu naruszenia przedsiębiorca wskazał, iż w jego ocenie naruszenie stanowiło duże ryzyko konsekwencji dla osób, których ono dotyczyło. Niemniej jednak przedsiębiorca nie powiadomił poszkodowanych. Organ najpierw wezwał pisemnie, a następnie (z uwagi na brak reakcji) w drodze decyzji administracyjnej zobowiązał do niezwłocznego zawiadomienia osób fizycznych o powstałym naruszeniu ochrony danych osobowych.

Ponieważ przedsiębiorca nie wniósł skargi do Wojewódzkiego Sądu Administracyjnego, w/w decyzja stała się prawomocna, a organ nadzorczy postanowił w drodze postępowania sprawdzającego zweryfikować realizację zawiadomienia osób zgodnie z art. 34 RODO.

Jednakże przedsiębiorca w odpowiedzi na żądanie przedstawienia dowodów wykonania decyzji najpierw stwierdził, że nie jest to możliwe (rzekomo nie było wiadomo, których pacjentów dane zostały skopiowane przez byłego pracownika). Następnie, po wysłaniu upomnienia przez UODO pod rygorem nałożenia kary pieniężnej, przedsiębiorca wysłał kopie 10 zawiadomień wysłanych listem poleconym o treści nie spełniającej warunków wskazanych w decyzji Prezesa UODO. Zawiadomienia nie zawierały opisu charakteru naruszenia, jego możliwych konsekwencji ani środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu.  

UODO ponownie wezwał przedsiębiorcę do prawidłowej realizacji warunków decyzji administracyjnej, niemniej jednak również i tym razem przedsiębiorca nie rozliczył się z nich prawidłowo i urząd wszczął postępowanie administracyjne w przedmiocie nałożenia na niego kary pieniężnej. Po otrzymaniu pisma zawiadamiającego o wszczęciu wspomnianego postępowania przedsiębiorca próbował jeszcze raz wykazać prawidłową realizację zawiadomienia. Niemniej jednak nieskutecznie, co w konsekwencji skutkowało nałożeniem kary pieniężnej w wysokości 85 588 zł.

3) Anwara Sp. z o.o.

Wysokość kary: 21 397 PLN
Decyzja Prezesa UODO z dnia 5-tego stycznia 2021 r.

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 21 tys. zł na spółkę Anwara, która nie współpracowała należycie z organem nadzorczym.

Sprawa została zainicjowana przez osobę, która złożyła skargę na nieprawidłowości przy przetwarzaniu jej danych osobowych – naruszenie polegało na przetwarzaniu jej danych osobowych w zakresie jej imienia, nazwiska, adresu zamieszkania oraz numeru PESEL bez jej wiedzy i zgody. Po wszczęciu postępowania wyjaśniającego, Prezes UODO dwukrotnie zwracał się do ukaranego podmiotu z wnioskiem o złożenie wyjaśnień w sprawie złożonej do organu skargi. Pomimo odebrania urzędowych pism, spółka nie udzieliła żadnych informacji w toku prowadzonego postępowania. W konsekwencji organ wszczął postępowanie administracyjne, które zakończyło się nałożeniem na spółkę administracyjnej kary pieniężnej w wysokości 21 397 zł. Sprawa może mieć swój ciąg dalszy o ile spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego (na dzień publikacji artykułu brak jest na ten temat informacji).

4) ENEA S. A.

Wysokość kary: 136 437 PLN
Decyzja Prezesa UODO z dnia 11-tego stycznia 2021 r.

Administracyjną karę pieniężną w wysokości 136 437 zł Prezes Urzędu Ochrony Danych Osobowych nałożył na ENEA S.A. za niezgłoszenie naruszenia ochrony danych osobowych, które dotyczyło błędu popełnionego przy wysyłce poczty elektronicznej.

Pracownik ENEA S.A. wysłał wiadomość wraz z niezaszyfrowanym załącznikiem, który zawierał dane osobowe kilkuset osób. Niestety wybrał niewłaściwy adres, przez co przesłał plik nieuprawnionej osobie. Zakres ujawnionych danych nie był szeroki, obejmował on: imię i nazwisko, adres e-mail, numery telefonów oraz informacje dotyczące daty rejestracji w ENEA S.A. Spółka uznała, że istnieje małe prawdopodobieństwo naruszenia praw i wolności osób, których dane dotyczą i podjęła decyzję o niezgłoszeniu zdarzenia do UODO.

Organ nadzorczy dowiedział się o naruszeniu od osoby, której błędnie wysłano wiadomość mailową zawierającą dane osobowe. W ocenie UODO, spółka błędnie dokonała analizy ryzyka naruszenia i powinna dokonać jego zgłoszenia. Organ uznał, że liczba osób objętych naruszeniem (około 250) stanowi czynnik podwyższający ryzyko dla praw i wolności osób fizycznych. A ponadto uzyskane od niewłaściwego adresata oświadczenie potwierdzające usunięcie danych, nie stanowi gwarancji nieuprawnionego wykorzystania danych. W związku z tym wszczęte zostało najpierw postępowanie wyjaśniające, a następnie postępowanie administracyjne w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej.

Przeczytaj więcej o tej sprawie w naszym Komunikacie IOD-y.

5) Krajowa Szkoła Sądownictwa i Prokuratury (KSSIP)

Wysokość kary: 100 000 PLN
Decyzja Prezesa UODO z dnia 11-tego lutego 2021 r.

Zdaniem organu KSSIP nie podjął niezbędnych środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność przetwarzanych danych osobowych. Ukarany podmiot nie testował i nie przeprowadzał oceny skuteczności stosowanych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych zawartych w kopii bazy danych platformy szkoleniowej KSSIP, a tym samym niewłaściwie określił ryzyko w ochronie danych osobowych.

Powyższe ustalenia dotyczą przede wszystkim przeprowadzenia migracji danych osobowych. W zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora. Skutkowało to naruszeniem ochrony danych osobowych – do Internetu wyciekła owa baza, która dotyczyła ponad 50 tys. osób podlegających szkoleniu ustawicznemu. W zakresie ujawnionych danych znalazły się następujące kategorie: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka i jej adres oraz wydział, nr PESEL. Osoby, których dane zostały naruszone piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury oraz referendarzy sądowych.

Innym naruszeniem RODO przez KSSIP było powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu bez zawarcia w umowie wymaganych przepisami zapisów dotyczących powierzenia przetwarzania.

Powyższe uchybienia skutkowały nałożeniem maksymalnej kary pieniężnej jaką może otrzymać podmiot publiczny, czyli w wysokości 100 000 zł.

6) Funeda Sp. z o.o.

Wysokość kary: 22 739,50 PLN
Decyzja Prezesa UODO z dnia 19-tego marca 2021 r.

Postępowanie wyjaśniające prowadzone przez organ nadzorczy zostało wszczęte po otrzymaniu skargi od osoby fizycznej, która kwestionowała zasadność udostępnienia jej danych osobowych. UODO wysyłał pisma z żądaniem złożenia wyjaśnień, które zostały odebrane, jednakże nie udzielono stosownych odpowiedzi. Organ nadzorczy wszczął postępowanie administracyjne, które zakończyło się nałożeniem na spółkę administracyjnej kary pieniężnej. Sprawa może mieć swój ciąg dalszy, o ile spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego – na dzień publikacji artykułu brak jest na ten temat informacji.

7) Cyfrowy Polsat S. A.

Wysokość kary: 1 136 975 PLN
Decyzja Prezesa UODO z dnia 22-ego kwietnia 2021 r.

Podstawą nałożenia przez Prezesa UODO najwyższej w 2021 r. administracyjnej kary pieniężnej było niewdrożenie przez Cyfrowy Polsat S.A. odpowiednich środków technicznych i organizacyjnych zapewniających właściwą ochronę przetwarzanych danych osobowych we współpracy z podmiotem realizującym na jego rzecz usługi kurierskie.

Spółka dokonywała zgłoszeń do organu nadzorczego licznych naruszeń ochrony danych, które polegały na m. in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w zakresie: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów.

Jak wykazała analiza UODO zgłaszanie naruszeń oraz powiadamianie osób, których naruszenia dotyczyły odbywało się ze sporym opóźnieniem (nawet po upływie 2 – 3 miesięcy od ich wystąpienia).

Zdaniem organu nadzorczego działania Spółki w celu minimalizowania skali naruszeń oraz ich identyfikowania były nieskuteczne. Z tego powodu osoby, których dane były naruszane nie były w stanie przeciwdziałać potencjalnym negatywnym skutkom, np. kradzieży ich tożsamości.

UODO wskazał, iż Spółka nieprawidłowo realizowała nadzór nad przetwarzaniem realizowanym w jego imieniu przez podmiot świadczący usługi kurierskie, co przyczyniło się do występowania opóźnień w identyfikowaniu naruszeń.

Dopiero w czasie toczącego się postępowania Spółka wdrożyła mechanizm pozwalający przeciwdziałać występowaniu nieprawidłowości, tj. rozwiązanie pozwalające śledzić przesyłki.

8) PNP S.A.

Wysokość kary: 22 739 PLN
Decyzja Prezesa UODO z dnia 27-ego kwietnia 2021 r.

Sprawa miała swój początek na skutek zgłoszenia skargi na nieprawidłowości przy przetwarzania danych osobowych, polegające na bezprawnym przekazaniu danych przez Bank do PNP S.A.

Organ w trybie wszczętego postępowania administracyjnego kilkukrotnie zwracał się pisemnie do PNP S.A. o ustosunkowanie się do przedmiotu skargi. Niemniej jednak pisma wysyłane na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego jako adresy siedziby nie zostały przez Spółkę odebrane. Zgodnie z brzmieniem art. 44 § 4 w zw. z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, awizowane dwukrotnie pisma zostały uznane za doręczone, a organ wszczął postępowanie administracyjne, które zakończyło się nałożeniem na PNP S.A. administracyjnej kary pieniężnej.

9) P4 Sp. z o.o.

Wysokość kary: 100 000 PLN
Decyzja Prezesa UODO z dnia 8-ego czerwca 2021 r.

Prezes wszczął postępowanie wskutek otrzymania od spółki spóźnionego zgłoszenia naruszenia ochrony danych osobowych. Zgłoszenie nie zawierało wyjaśnienia przyczyny przekroczenia terminu 24 godzin, określonego w przepisach Prawa telekomunikacyjnego.

W trakcie postępowania spółka wyjaśniła, że opóźnienie zgłoszenia było spowodowane błędem pracownika kancelarii odpowiedzialnego za wysyłkę korespondencji. Konsekwencją błędu w adresie było niedostarczenie korespondencji do adresata i jej zwrot przez operatora pocztowego do nadawcy.

Organ nadzorczy mimo złożonych wyjaśnień postanowił nałożyć na spółkę administracyjną karę pieniężną, uzasadniając ją tym, że spółka w przeszłości wielokrotnie zgłaszała naruszenia po upływie czasu określonego w przepisach prawa. Ponadto wskazano, że bardziej niezawodnym kanałem zgłaszania naruszeń jest droga elektroniczna, z której spółka mogła skorzystać.

Na marginesie warto dodać, że „okrągła” wysokość kary wynika z art. 210a ust. 1 pkt 2 ustawy Prawo telekomunikacyjne. Otóż to ta polska ustawa, a nie RODO, była w tym przypadku podstawą postępowania administracyjnego prowadzonego przez Prezesa UODO.

10) Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.

Wysokość kary: 159 176 PLN
Decyzja Prezesa UODO z dnia 21-ego czerwca 2021 r.

Sprawa zaczęła się od tego, że do Urzędu Ochrony Danych Osobowych wpłynęło od innego administratora zgłoszenie naruszenia polegającego na wysłaniu pocztą elektroniczną do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych innego klienta. Błędnie wysłana korespondencja e-mail zawierała również ofertę ubezpieczenia przygotowaną przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. Oferta zawierała dane osobowe w zakresie: imię, nazwisko, nr PESEL, miejscowość, kod pocztowy, informację o przedmiocie ubezpieczenia, informację o produkcie ubezpieczeniowym, sumę ubezpieczenia/sumę gwarancyjną oraz wysokość składki.

ERGO Hestia S.A. nie dokonała zgłoszenia naruszenia zgodnie z wymaganiami art. 33 RODO, co stanowiło powód wszczęcia przez organ nadzorczy postępowania wyjaśniającego. W postępowaniu spółka złożyła obszerne wyjaśnienia wraz z wynikami analizy ryzyka naruszenia praw i wolności osób fizycznych. Przedstawiła również oświadczenie błędnego adresata potwierdzające usunięcie danych osobowych wraz z zapewnieniem, że nie zaznajomił się on z treścią błędnie przesłanych dokumentów. Przesłane wyniki analizy ryzyka wskazywały na brak potrzeby zgłoszenia naruszenia ochrony danych osobowych.

Niemniej jednak w drodze prowadzonego postępowania organ wytknął błędy i zarzucił brak rzetelności przy przeprowadzaniu analizy. W ocenie organu Spółka w swojej analizie m. in. nie uwzględniła wszystkich ujawnionych danych, które występowały w załącznikach. Ponadto zbyt lekkomyślnie uznano za czynnik zmniejszający ryzyko, że naruszenie dotyczy tylko jednej osoby oraz błędnie oceniono, że jej identyfikacja nie będzie stosunkowo łatwa. Organ wskazał również, że nie ma wpływu na poziom ryzyka uzyskanie oświadczenia niewłaściwego adresata, z uwagi na brak pewności, czy nie przesłał dalej otrzymanej wiadomości.

Podstawą nałożenia kary było nie tylko niedopełnienie obowiązku zgłaszania do organu nadzorczego naruszenia ochrony danych osobowych, ale również brak zawiadomienia podmiotu danych o wystąpieniu naruszenia jego danych osobowych.

11) Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra

Wysokość kary: 13 644 PLN
Decyzja Prezesa UODO z dnia 30-tego czerwca 2021 r.

Organ nadzorczy wszczął postępowanie wyjaśniające wskutek otrzymania zawiadomienia o podejrzeniu naruszenia przepisów o ochronie danych osobowych, które miało polegać na utracie danych na skutek kradzieży teczek zawierających dane osobowe beneficjentów fundacji.

W pismach wyjaśniających fundacja wskazała, że w jej ocenie naruszenie nie kwalifikowało się do zgłoszenia do organu nadzorczego oraz przekazała wyniki analizy ryzyka. Był to wydruk z internetowego kalkulatora wagi naruszeń jednej z firm świadczących usługi w zakresie ochrony danych osobowych. Przedstawione wyniki analizy zostały podważone przez organ nadzorczy, z uwagi m. in na to, że nie zawierały opisu kryteriów, jakimi kierowała się Fundacja dokonując oceny za pomocą wskazanego kalkulatora.

12) Prezes Sądu Rejonowego w Zgierzu

Wysokość kary: 10 000 PLN
Decyzja Prezesa UODO z dnia 13-tego lipca 2021 r.

Kara została nałożona na Prezesa Sądu Rejonowego w Zgierzu, który nie zabezpieczył właściwie nośników z danymi osobowymi. Sankcja wyniosła 10 tys. zł. Nałożona kara związana jest ze zgłoszeniem przez Prezesa Sądu incydentu zgubienia pendrive-a przez jednego z kuratorów. Nośnik nie był zabezpieczony. Znajdowały się na nim dane ponad 400 osób. Pendrive do tej pory nie został odnaleziony, więc wciąż istnieje duże ryzyko dostępu do znajdujących się tam danych przez osoby nieuprawnione.

W toku wyjaśnień ustalono, że w danej placówce obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie rozwiązanie jest niegodne z przepisami prawa.

Prezes Sądu deklarował, że pracownicy placówki są szkoleni z zasad bezpieczeństwa. Co prawda takie szkolenia są potrzebne i konieczne. Nie są one jednak w stanie zastąpić rozwiązań o charakterze technicznym, które w tym przypadku ograniczyłyby ryzyko związane z naruszeniem.

W przypadku zabezpieczeń technicznych należy wskazać pracownikom sposób uruchomienia adekwatnego rozwiązania. Często jednak pracownik nie będzie potrafił właściwie zabezpieczyć nośnika. Dlatego też administrator powinien zapewnić odpowiednie środki bezpieczeństwa nośników zawierających dane osobowe lub wsparcie ich użytkowników w tej kwestii.

13) Bank Milenium

Wysokość kary: 363 832 PLN
Decyzja Prezesa UODO z dnia 14-tego października 2021 r.

Jest to kolejna decyzja o nałożeniu kary pieniężnej za brak zgłoszenia naruszenia ochrony danych osobowych. Tym razem naruszenie polegało na zagubieniu dokumentacji zawierającej dane osobowe małżonków, przekazanej Bankowi w związku z procedurą założenia wspólnego konta bankowego. Organ nadzorczy o zdarzeniu dowiedział się ze skargi osób, których dane dotyczyły. Z ustaleń organu wynika, że dokumentacja zaginęła w drodze do centrali Banku i jak dotąd nie udało się jej zlokalizować.

Bank w swoich wyjaśnieniach wskazał, że w jego ocenie zdarzenie powodowało średnie ryzyko naruszenia praw i wolności osób fizycznych. Podjęto więc decyzję o niezgłaszaniu naruszenia do UODO. Postanowiono jednak powiadomić osoby, których naruszenie dotyczyło, ale tylko w ograniczonym zakresie – wskazując „bardzo ogólne informacje dotyczące charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem) oraz wymieniając środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skorzystanie z bezpłatnej usługi Alert (…)”.

Organ nadzorczy, biorąc pod uwagę zakres danych w utraconych dokumentach (m.in.: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer CIF [numer identyfikacyjny nadawany klientom Banku]), ocenił, że naruszenie ochrony danych osobowych stanowi wysokie ryzyko naruszenia praw i wolności osób fizycznych. W konsekwencji uznano, że Bank nie zgłaszając naruszenia do UODO oraz nie zawiadamiając należycie osób, których dane dotyczą, dopuścił się naruszenia przepisów RODO.

14) Uniwersytet Warszawski

Wysokość kary: 45 000 PLN
Decyzja Prezesa UODO z dnia 9-tego grudnia 2021 r.

W maju 2020 roku Politechnika Warszawska zgłosiła naruszenie ochrony danych osobowych polegające na złamaniu zabezpieczeń jednej z platform edukacyjnych. Wskutek naruszenia doszło do wycieku danych osobowych studentów i wykładowców, łącznie ponad 5000 osób. Po przeanalizowaniu zgłoszenia, Prezes UODO podjął decyzję o wszczęciu postępowania administracyjnego, którego przedmiotem była weryfikacja możliwości naruszenia przez Uczelnię, jako administratora danych, przepisów RODO.

Podstawą ukarania Polityki Warszawskiej, było niezrealizowanie obowiązków wynikających z przepisów RODO polegających m. in. na:

  • wdrożeniu środków zabezpieczających bez przeprowadzenia uprzednio analizy ryzyka;

  • nie przeprowadzeniu testów penetracyjnych utrzymywanych systemów informatycznych, które mogłyby wykryć ich krytyczne podatności na zagrożenia;

  • przechowywaniu haseł użytkowników w postaci skrótów powstałych przy użyciu algorytmu, którego wykorzystywanie nie jest już zalecane z powodu znanych ataków umożliwiających odtworzenie pierwotnych ciągów znaków;

  • przechowywaniu przez niewystarczający okres czasu logów systemowych (4 tygodnie) oraz prowadzeniu niewystarczająco szczegółowego dziennika zdarzeń, co uniemożliwiło zidentyfikowanie źródła pochodzenia złośliwego oprogramowania.

Więcej informacji na temat przedmiotowej sprawy przeczytasz w naszym ostatnim Komunikacie IOD-y.

Podsumowanie

W 2021 roku działania organu nadzorczego z powodu pandemii były ograniczone. Niemniej nie można było tego wyraźnie odczuć i jego aktywność nie odbiegała poziomem od lat poprzednich.

Ponownie i w tym roku wydane przez Prezesa UODO decyzje o nałożeniu administracyjnych kar pieniężnych potwierdzają, że nikt nie może czuć się bezkarny. Kary za naruszenia przepisów RODO mogą dosięgnąć każdego administratora, bez względu na to jak dużą działalność prowadzi (przykład osoby fizycznej prowadzącej działalność gospodarczą), czy działalność jest prowadzona w celach zarobkowych, czy pro bono (przykład Fundacji).

Przed karami nie uchroni przyjęcie postawy biernej, tj. nieudzielanie informacji w toczącym się postępowaniu oraz nieodbieranie przysyłanych przez organ nadzorczy pism. Bowiem zgodnie z Kodeksem postępowania administracyjnego dwukrotnie awizowane pisma uznaje się za doręczone.

Podkreślenia wymaga również to, iż organ nadzorczy wnikliwie bada każde naruszenie ochrony danych osobowych. Dlatego organizacje w swoich ocenach powstałych naruszeń powinny być rozważne tak, aby uniknąć zbyt pochopnego uwzględniania czynników obniżających ryzyko, czy pomijania czynników je podwyższających.

Kolejne kontrole

W tym roku, zgodnie z planem kontroli sektorowych opublikowanym przez UODO, na celowniku organu będą:

  1. Banki – w zakresie przetwarzania danych osobowych klientów i potencjalnych klientów w zakresie ich profilowania oraz w zakresie informowania osób ubiegających się o kredyt o dokonywanej ocenie zdolności kredytowej w związku z art. 70a ustawy Prawo bankowe;

  2. organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – przetwarzanie danych osobowych SIS/VIS dostępnych poprzez KSI (Krajowy System Informatyczny) lub bezpośrednio w SISII/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041);

  3. Podmioty przetwarzające dane osobowe w ramach aplikacji mobilnych – w zakresie zabezpieczania danych oraz ich udostępniania.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.