Za jakie przewinienia może karać PUODO?
Wszystkie nakładane w Polsce kary na podstawie przepisów o ochronie danych osobowych są publikowane na stronie Urzędu Ochrony Danych Osobowych. Pozwala to poznać linie orzeczniczą, zarówno praktykom na co dzień specjalizujących się w prawie dotyczącym ochrony prywatności, jak i firmom, które powinny i chcą w odpowiedni sposób zadbać o dostosowanie się do obowiązujących zasad. W ostatnim czasie pojawiło się kilka kar, których lektura może przynieść ciekawe wnioski dla osób zainteresowanych.
Wysoka kara za naruszenie zasad poufności i rozliczalności
Na spółkę Vigrin Mobile została nałożona kara w wysokości ponad 1,9 mln złotych za naruszenie uregulowanych przepisami RODO zasad poufności i rozliczalności. Zgodnie bowiem z zapisami unijnego rozporządzenia o ochronie danych osobowych to na administratorze danych osobowych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. Prezes Urzędu zarzucił spółce, że nie spełniła powyższego obowiązku, tj. nie wprowadziła odpowiednich środków, które zapewniłyby stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych. Doprowadziło to do uzyskania dostępu przez osobę nieuprawnioną do danych klientów Virgin Mobile. W decyzji Prezesa czytamy, że tym samym została naruszona jedna z podstawowych zasad wymienionych w RODO, tj. zasada poufności danych.
W tym kontekście można również zaznaczyć, że w zeszłym roku Wojewódzki Sąd Administracyjny w Warszawie podtrzymał najwyższą karę nałożoną przez PUODO, na spółkę Morele. Tę sprawę opisywaliśmy w oddzielnym artykule: https://ubezpieczenia-cyber.pl/witryna-morele-net-padla-ofiara-hakerow/
Opieszałość administratora danych warta 1 mln zł
Niniejsza sprawa dotyczy firmy ID Finance Poland w upadłości. Przedmiotem jej działalności jest udzielanie pożyczek finansowych z wykorzystaniem serwisu internetowego moneyman.pl. W tym przypadku zarzucono spółce naruszenia praktycznie takich samych przepisów, jak w przypadku Virgin Mobile (tzn. brak wdrożenia odpowiednich środków, złamanie zasady poufności danych). Co ciekawe, źródło wycieku danych osobowych zaistniało po działaniach podmiotu przetwarzającego (firmy hostingowej). Do naruszenia doszło, po tym jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający nie przywrócono odpowiedniej konfiguracji zabezpieczeń. ID Finance została o tym poinformowana przez jednego z ekspertów ds. cyberbezpieczeństwa, który wykazał, że doszło do upublicznienia poufnych informacji. Administrator nie podjął odpowiednich działań, nie sprawdził, czy w systemach znajdują się luki. Doprowadziło to, po kilku dniach, do wykradzenia danych z serwera. Zdaniem PUODO brak właściwej reakcji po stronie ID Finance skutkował pobraniem informacji przez osobę nieupoważnioną. Na administratora nałożono karę ponad 1 mln zł.
Kolejna kara za brak współpracy
Jak ważna jest właściwa kooperacja w przypadku wszczęcia postępowania przez PUODO pokazuje sprawa spółki Smart Cities. W ramach swoich działań podjętych po zawiadomieniu przez osobę skarżącą, Prezes Urzędu zadał spółce pytania, które dotyczyły głównie:
– ustalenia faktu, czy spółka przetwarza dane skarżącego,
– przedstawienia podstawy prawnej przekazywania danych osobowych skarżącego do innego podmiotu,
– informacji czy istnieje umowa powierzenia przetwarzania danych pomiędzy Smart Cities a wskazanym innym podmiotem, do którego miały być przekazane dane przetwarzającego.
Odpowiedź spółki, zdaniem Prezesa Urzędu, była niewystarczająca. Wyjaśnienia miały być niepełne i nie mogły stanowić podstawy rozpatrzenia skargi. W związku z tym Prezes nałożył karę na Smart Cities w wysokości prawie 13.000 złotych.
Przy tej sprawie warto także wspomnieć, że niedawno Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki East Power, która odwoływała się od nałożonej kary w związku z zarzuconym brakiem współpracy z Urzędem. Sankcja w wysokości 15.000 złotych została więc podtrzymana. Szerzej o tej sprawie pisaliśmy w tym miejscu: https://ubezpieczenia-cyber.pl/urzad-ochrony-danych-osobowych-naklada-kary-za-brak-wspolpracy/
Urząd intensyfikuje działania
Opisane powyżej przypadki pozwalają stwierdzić, że Prezes Urzędu Ochrony Danych Osobowych ostatnimi czasy coraz częściej podejmuje działania kontrolne. Nakładanych jest coraz więcej kar za wszelkiego rodzaju uchybienia i naruszenia. Na dodatek pandemia, która wymusiła przeniesienie się znacznej części działalności firm do sieci, może spowodować pojawienie się lawiny spraw o naruszenie danych osobowych. Wyżej wymienione sprawy pokazują, że przy stosowaniu przepisów RODO należy dochować należytej staranności nie tylko na etapie wdrażania środków technicznych i organizacyjnych, ale również w przypadku wszczęcia kontroli i odpowiedniej współpracy z Urzędem. Warto także pamiętać o odpowiednim doborze podmiotów współpracujących, które stają się w świetle prawa przetwarzającymi.
Źródła:
https://www.prawo.pl/biznes/rodo-kara-dla-firmyza-brak-wspolpracyz-uodo,506179.html
https://uodo.gov.pl/pl/138/1809
https://uodo.gov.pl/decyzje/DKN.5112.1.2020