Home
Internal
International
Kontakt
Aneta Siwek
17 czerwca 2021 r.
Na mocy decyzji z 22 kwietnia 2021 r. (DKN.5130.3114.2020) Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na administratora danych – Cyfrowy Polsat S.A. – karę administracyjną w wysokości 1 136 975 zł.
Cyfrowy Polsat S.A. nie zapewnił odpowiednich mechanizmów pozwalających na szybką identyfikację naruszeń ochrony danych osobowych w ramach współpracy z podmiotem świadczącym na jego rzecz usługi kurierskie. Administratorowi zarzucono naruszenie art. 24 ust. 1 oraz 32 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych (RODO).
Prezes UODO zarzucił administratorowi opieszałość w stwierdzaniu naruszeń ochrony danych. Zwrócił uwagę na znaczny upływ czasu od daty zaistnienia danego zdarzenia powodującego naruszenie ochrony danych do ostatecznego stwierdzenia takiego zdarzenia przez administratora. W konsekwencji powiadomienie osób, których prawa i wolności zostały zagrożone oraz zgłoszenie naruszenia następowały nawet po kilku miesiącach od wystąpienia zdarzenia.
W ocenie Prezesa UODO Spółka nie dokonywała w sposób wystarczający oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych zawartych w dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie.
Prezes UODO zwrócił również uwagę na niespełnienie wymogu określonego w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. c) RODO – administrator nie zawiadamiał osób, których dane dotyczą, o możliwych konsekwencjach naruszenia ochrony danych osobowych.
Zdaniem Prezesa UODO Spółka nie przeprowadziła właściwej analizy ryzyka, w związku z czym poziom ryzyka został niedoszacowany. Dokonana analiza okazała się niekompletna, ponieważ pomijała niektóre sytuacje, w których ryzyko naruszenia danych było wysokie. Spółka nie udokumentowała też dostatecznie, że oceny poszczególnych przypadków naruszeń dokonywano dla każdego przypadku indywidualnie.
Jak wynika z decyzji, zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 RODO bądź w terminie określonym w przepisach szczególnych obowiązujących administratora nie zwalnia administratora danych z podejmowania działań mających na celu sprawne i szybkie identyfikowanie naruszeń ochrony danych osobowych.
Aby przeprowadzić właściwą ocenę poziomu ryzyka, zarówno administrator, jak i podmiot przetwarzający zobowiązani są do przyjęcia odpowiednich środków technicznych i organizacyjnych zapewniających właściwy stopień bezpieczeństwa danych, odpowiadający ryzyku związanemu z ich przetwarzaniem. Powinni też upewnić się, czy wdrożone środki pozwalają od razu stwierdzić naruszenie i niezwłocznie poinformować o nim organ nadzorczy oraz osobę, której dane dotyczą. Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zwalania administratora z odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych.
Zgodnie z art. 34 ust. 1 RODO w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu.
Zapobieganie oraz niezwłoczne reagowanie na zaistniałe naruszenia to kluczowe elementy każdej polityki bezpieczeństwa danych. Kierując się Wytycznymi Grupy Roboczej art. 29 dotyczącymi zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, na które powołuje się Prezes UODO: osoby fizyczne należy poinformować o naruszeniu „bez zbędnej zwłoki” – tj. najszybciej, jak to możliwe.
Brak skutecznych mechanizmów pozwalających na szybką identyfikację naruszeń ochrony danych osobowych, jak również minimalizowanie ich skali, przesądziły ostatecznie o naruszeniu przez Cyfrowy Polsat S.A. obowiązków wynikających z art. 24 ust. 1 oraz 32 ust. 1 i 2 RODO. Wdrożenie mechanizmów po wszczęciu postępowania administracyjnego oraz po uprzednim przedstawieniu własnych analiz wykonanych przez Prezesa UODO nie uchroniło Spółki przed konsekwencjami uchybienia i karą pieniężną.
Zdaniem Prezesa UODO możliwe było podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń oraz szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, również w czasie pandemii.
Pomimo formalnego wdrożenia polityki oraz procedur ochrony danych dotyczących zgłaszania naruszeń oraz zawarcia umowy powierzenia, administrator nie wypracował w praktyce odpowiednich mechanizmów mających kontrolować realizację przez podmiot przetwarzający swoich zobowiązań. Tym samym nie identyfikował na bieżąco naruszeń ochrony danych osobowych związanych z wysyłką dokumentacji zawierającej dane osobowe. W konsekwencji zawiadomienie osób, których dane dotyczyły, następowało dopiero po upływie znacznego czasu od zdarzenia powodującego naruszenie ochrony danych.
Jak wskazuje motyw 85 RODO, przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak:
Powyższy przypadek świadczy o tym, jak ważne jest nie tylko formalne opracowanie i wdrożenie przez administratora odpowiednich procedur dotyczących ochrony danych osobowych w organizacji – co odnosi się również do relacji z podmiotami świadczącymi na jego rzecz określone usługi wiążące się z przetwarzaniem danych. Istotne jest przede wszystkim realne respektowanie wynikających z nich zobowiązań i korzystanie z dostosowanych do poziomu ryzyka środków, które pozwalają na ich faktyczne stosowanie, a w razie potrzeby także bieżące uaktualnianie.
W przypadku wątpliwości dotyczących bezpieczeństwa przetwarzania danych, zachęcamy do kontaktu z ekspertami Rödl & Partner.
adwokat
Wyślij zapytanie
