Aktualizacja publikacji z 28 marca 2022 r.
Prezes UODO nałożył najwyższą jak dotąd karę dla administratora za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Sankcja wynosi prawie 5 mln zł. Ta astronomiczna kara nałożona została decyzją z dnia 19 stycznia b.r. na dostawcę prądu i gazu, spółkę Fortum Marketing and Sales Polska. Rzecznik podmiotu poinformował, że Spółka zdecydowała się złożyć skargę do WSA w Warszawie na decyzję Prezesa UODO.
Co ciekawe, tą samą decyzją ukarany został również wspomniany wyżej podmiot przetwarzający, tj. PIKA Sp. z o. o. Sankcja dla podmiotu przetwarzającego wynosi 250 tys. zł. Spółka świadczyła administratorowi usługę prowadzenia archiwum, w tym archiwum cyfrowego.
Fortum odwołało się od decyzji Prezesa UODO do WSA w Warszawie. Sąd po przenalizowaniu zaskarżonej decyzji stwierdził naruszenie przepisów zarówno materialnych, jak i procesowych poprzez ich niewłaściwą wykładnię i zastosowanie. W związku z tym w wyroku z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) uchylił decyzję organu nadzorczego.
JAK DOSZŁO DO NARUSZENIA?
Fortum Marketing and Sales Polska w kwietniu 2020 r. zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Postępowanie w tej sprawie zostało wszczęte w maju 2020 r. Ustalono, że do naruszenia doszło w wyniku skopiowania danych klientów Spółki przez nieuprawnione osoby, co związane było ze zmianami przeprowadzanymi w systemie teleinformatycznym dla archiwum cyfrowego.
Za modyfikację odpowiedzialny był podmiot przetwarzający, czyli PIKA Sp. z o. o. Zmiana ta polegała na utworzeniu dodatkowej bazy klientów Fortum. O naruszeniu Spółka uzyskała informację nie od podmiotu przetwarzającego, lecz niezależnie od dwóch internautów, którzy odkryli możliwość dostępu do bazy danych Fortum.
ADMINISTRATOR NIE POWIADOMIŁ OSÓB, KTÓRYCH DOTYCZYŁO NARUSZENIE
Baza zawiera dane takie jak: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru mediów oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika).
Naruszenie dotyczyło 137 314 klientów Fortum. Administrator nie zawiadomił podmiotów danych o naruszeniu, ponieważ w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W ocenie Prezesa UODO jednak ryzyko jest wysokie. W związku z tym w kwietniu 2020 r. organ nadzorczy wystosował do administratora zalecenie podjęcia działań, po pierwsze, minimalizujących negatywne skutki naruszenia, tj.: niezwłoczne zawiadomienie osób dotkniętych naruszeniem i przekazanie im stosownych zaleceń oraz, po drugie, mających wyeliminować podobne nieprawidłowości w przyszłości.
Fortum zgodnie z zaleceniami Prezesa UODO zawiadomiła osoby, których dane dotyczą, o czym – w odpowiedzi na pismo z Urzędu – poinformowała organ. Spółka przestawiła też wyniki analizy, w której zawarła korektę liczby osób objętych wysokim ryzykiem naruszenia praw i wolności. Według Spółki o naruszeniu powinno być powiadomionych 95 711 osób, ponieważ pozostałe z nich to osoby zmarłe lub prawne (klienci biznesowi).
NIEZASTOSOWANIE PRZEZ PODMIOT PRZETWARZAJĄCY PODSTAWOWYCH ZASAD BEZPIECZEŃSTWA
Fortum współpracuje z podmiotem przetwarzającym na podstawie podpisanych umów, w tym umowy powierzenia przetwarzania danych osobowych. Administrator w umowach określił wymogi bezpieczeństwa danych, które należy zastosować (m.in. pseudonimizację i szyfrowanie danych osobowych). Zabezpieczenia nie zostały jednak wcześniej przetestowane.
W ocenie Prezesa UODO Fortum nie egzekwowała od PIKA Sp. z o. o. właściwego wykonania umowy powierzenia przetwarzania i „nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje”, a także nie weryfikowała działań podmiotu przetwarzającego. PIKA zaś działała niezgodnie z powszechnie znanymi normami ISO dotyczącymi bezpieczeństwa informacji, a także nie stosowała się do postanowień umowy powierzenia przetwarzania danych osobowych.
Zdaniem Prezesa UODO powodem naruszenia było niezastosowanie przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed nieuprawnionym dostępem osób trzecich. Zatem to PIKA ponosi bezpośrednią odpowiedzialność za zaistniałe naruszenie.
ADMINISTRATOR ZAPEWNIA PRZETWARZANIE DANYCH ZGODNE Z PRZEPISAMI RODO
Prezes UODO przypomina, że zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne mające zapewnić przetwarzanie zgodne z przepisami RODO. Ma on również obowiązek regularnego testowania przyjętych rozwiązań i prawo, a wręcz obowiązek, kontroli podmiotu przetwarzającego.
Organ nadzorczy podkreśla, że wdrożenie odpowiednich środków technicznych i organizacyjnych nie powinno polegać tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów i zasad przetwarzania danych osobowych, ale także na dokonywaniu regularnych przeglądów tych środków.
AKTUALIZACJA
Najwyższa kara nałożona dotychczas przez Prezesa UODO dotyczyła m.in. niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Na drugim biegunie mamy niedawno nałożoną najniższą karę, która dotyczyła tego samego obowiązku, ale dużo mniejszych podmiotów. W tym drugim, opisanym poniżej, przypadku również jedną, tą samą decyzją ukarany został zarówno administrator, jak i podmiot przetwarzający.
NAJNIŻSZA KARA NAŁOŻONA PRZEZ UODO
Prezes UODO decyzją z dnia 8 lutego 2023 r. nałożył administracyjne kary pieniężne na dwóch współpracujących ze sobą przedsiębiorców. Na administratora karę w wysokości 33 tys. zł oraz (rekordowo niską) karę w wysokości 472 zł na drugiego z przedsiębiorców (M.H.), którego potraktowano jako podmiot przetwarzający. Powodem nałożenia kar był brak analizy ryzyka i dobór nieadekwatnych do ryzyka środków technicznych i organizacyjnych, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. Postępowanie administracyjne zapoczątkowane zostało wpłynięciem zgłoszenia naruszenia do UODO.
Chociaż drugi z przedsiębiorców prowadzi działalność gospodarczą polegającą na kompleksowej obsłudze informatycznej realizowanej w środowisku administratora, organ nadzorczy przyjął, że pełni on autonomiczną rolę w procesie przetwarzania danych osobowych. W decyzji podkreślono, że przedsiębiorca działał na podstawie umowy powierzenia przetwarzania danych osobowych, a nie upoważnienia do ich przetwarzania.
NIEFORTUNNE POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
W kwestii nałożenia kary na drugiego przedsiębiorcę kluczowe znaczenie miał fakt uznania go za procesora. Prezes UODO uznał M.H. za podmiot przetwarzający na podstawie zawartej umowy powierzenia przetwarzania danych osobowych i wyjaśnień składanych przez strony postępowania. Prawdopodobnie jednak umowa powierzenia przetwarzania danych została błędnie zawarta i w rzeczywistości M.H. powinien raczej zostać upoważniony do przetwarzania danych osobowych przez administratora, u którego był zatrudniony. Należy pamiętać, że sama kontraktowa forma zatrudnienia nie powinna przesądzać o relacji powierzenia przetwarzania. O ograniczeniu autonomii świadczyć może informacja o stosowaniu przez M.H. regulacji wewnętrznych obowiązujących u administratora. Nie wydaje się też, aby było konieczne wykorzystywanie przez M.H. własnych środków przetwarzania danych w ramach zleconych mu przez administratora zadań.
Można więc przyjąć tezę, że istnienie umowy powierzenia M.H. przetwarzania danych osobowych przez administratora przyczyniło się do nałożenia na niego kary jako na podmiot przetwarzający. Wydaje się, że możliwe było jej uniknięcie, gdyby przedsiębiorca był upoważniony do przetwarzania danych osobowych jak inni pracownicy. Jednak administrator uznał, że takie podejście jest nieprawidłowe z uwagi na relację „b2b” i bronił swego poglądu składając wyjaśnienia w toku postępowania. W związku z tym organ w swej decyzji uznał, że „Wyjaśnienia te i dokonane w sprawie ustalenia wskazują na jego [M.H.] autonomiczną rolę w procesie przetwarzania danych osobowych klientów.”
Sprawa ta jest więc przykładem negatywnych konsekwencji (nadmiarowego) zawarcia umowy powierzenia przetwarzania danych osobowych. Zatem nie powinno się zawierać umowy powierzenia na wszelki wypadek dlatego, że kara może grozić za brak jej zawarcia. Co prawda UODO jeszcze nikogo nie ukarał za samo nadmiarowe zawarcie takiej umowy, ale nie można zapominać, że relacja ta rodzi określone konsekwencje. Dlatego w przypadku każdego rodzaju współpracy między podmiotami należy prawidłowo ją definiować z perspektywy przepisów RODO.