Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Jesteś administratorem – odpowiadasz za szybkość identyfikowania naruszeń

PrintMailRate-it

Aneta Siwek

17 czerwca 2021 r. ​

 

Na mocy decyzji z 22 kwietnia 2021 r. (DKN.5130.3114.2020) Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na administratora danych – Cyfrowy Polsat S.A. – karę administracyjną w wysokości 1 136 975 zł.

 

Cyfrowy Polsat S.A. nie zapewnił odpowiednich mechanizmów pozwalających na szybką identyfikację naruszeń ochrony danych osobowych w ramach współpracy z podmiotem świadczącym na jego rzecz usługi kurierskie. Administratorowi zarzucono naruszenie art. 24 ust. 1 oraz 32 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych (RODO).

 

Za co ukarano Spółkę


Prezes UODO zarzucił administratorowi opieszałość w stwierdzaniu naruszeń ochrony danych. Zwrócił uwagę na znaczny upływ czasu od daty zaistnienia danego zdarzenia powodującego naruszenie ochrony danych do ostatecznego stwierdzenia takiego zdarzenia przez administratora. W konsekwencji powiadomienie osób, których prawa i wolności zostały zagrożone oraz zgłoszenie naruszenia następowały nawet po kilku miesiącach od wystąpienia zdarzenia.

 

W ocenie Prezesa UODO Spółka nie  dokonywała w sposób wystarczający oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych zawartych w dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie.

 

Prezes UODO zwrócił również uwagę na niespełnienie wymogu określonego w art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. c) RODO – administrator nie zawiadamiał osób, których dane dotyczą, o możliwych konsekwencjach naruszenia ochrony danych osobowych.

 

Brak odpowiedniej analizy ryzyka


Zdaniem Prezesa UODO Spółka nie przeprowadziła właściwej analizy ryzyka, w związku z czym poziom ryzyka został niedoszacowany. Dokonana analiza okazała się niekompletna, ponieważ pomijała niektóre sytuacje, w których ryzyko naruszenia danych było wysokie. Spółka nie udokumentowała też dostatecznie, że oceny poszczególnych przypadków naruszeń dokonywano dla każdego przypadku indywidualnie.

Jak wynika z decyzji, zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 RODO bądź w terminie określonym w przepisach szczególnych obowiązujących administratora nie zwalnia administratora danych z podejmowania działań mających na celu sprawne i szybkie identyfikowanie naruszeń ochrony danych osobowych.


Aby przeprowadzić właściwą ocenę poziomu ryzyka, zarówno administrator, jak i podmiot przetwarzający zobowiązani są do przyjęcia odpowiednich środków technicznych i organizacyjnych zapewniających właściwy stopień bezpieczeństwa danych, odpowiadający ryzyku związanemu z ich przetwarzaniem. Powinni też upewnić się, czy wdrożone środki pozwalają od razu stwierdzić naruszenie i niezwłocznie poinformować o nim organ nadzorczy oraz osobę, której dane dotyczą. Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zwalania administratora z odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych.

 

Opóźnienia w zawiadamianiu o naruszeniach


Zgodnie z art. 34 ust. 1 RODO w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu.

 

Zapobieganie  oraz niezwłoczne reagowanie na zaistniałe naruszenia to kluczowe elementy każdej polityki bezpieczeństwa danych. Kierując się Wytycznymi Grupy Roboczej art. 29 dotyczącymi zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, na które powołuje się Prezes UODO: osoby fizyczne należy poinformować o naruszeniu „bez zbędnej zwłoki” – tj. najszybciej, jak to możliwe.

 

Brak skutecznych mechanizmów pozwalających na szybką identyfikację naruszeń ochrony danych osobowych, jak również minimalizowanie ich skali, przesądziły ostatecznie o naruszeniu przez Cyfrowy Polsat S.A. obowiązków wynikających z art. 24 ust. 1 oraz 32 ust. 1 i 2 RODO. Wdrożenie mechanizmów po wszczęciu postępowania administracyjnego oraz po uprzednim przedstawieniu własnych analiz wykonanych przez Prezesa UODO nie uchroniło Spółki przed konsekwencjami uchybienia i karą pieniężną.

 

Zdaniem Prezesa UODO możliwe było podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń oraz szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, również w czasie pandemii.

 

Pomimo formalnego wdrożenia polityki oraz procedur ochrony danych dotyczących zgłaszania naruszeń oraz zawarcia umowy powierzenia, administrator nie wypracował w praktyce odpowiednich mechanizmów mających kontrolować realizację przez podmiot przetwarzający swoich zobowiązań. Tym samym nie identyfikował na bieżąco naruszeń ochrony danych osobowych związanych z wysyłką dokumentacji zawierającej dane osobowe. W konsekwencji zawiadomienie osób, których dane dotyczyły, następowało dopiero po upływie znacznego czasu od zdarzenia powodującego naruszenie ochrony danych.

 

Jak wskazuje motyw 85 RODO, przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak:

  • utrata kontroli nad własnymi danymi osobowymi;
  • ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości;
  • strata finansowa;
  • nieuprawnione odwrócenie pseudonimizacji;
  • naruszenie dobrego imienia;
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową;
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

 

Podsumowanie


Powyższy przypadek świadczy o tym, jak ważne jest nie tylko formalne opracowanie i wdrożenie przez administratora odpowiednich procedur dotyczących ochrony danych osobowych w organizacji – co odnosi się również do relacji z podmiotami świadczącymi na jego rzecz określone usługi wiążące się z przetwarzaniem danych. Istotne jest przede wszystkim realne respektowanie wynikających z nich zobowiązań i korzystanie z dostosowanych do poziomu ryzyka środków, które pozwalają na ich faktyczne stosowanie, a w razie potrzeby także bieżące uaktualnianie.

 


W przypadku wątpliwości dotyczących bezpieczeństwa przetwarzania danych, zachęcamy do kontaktu z ekspertami Rödl & Partner.


Deutschland Weltweit Search Menu