RODO – najwyższa administracyjna kara pieniężna w Polsce nałożona

PrintMailRate-it

Na mocy decyzji Prezes Urzędu Ochrony Danych Osobowych, dalej „Prezes UODO”, z 10 września 2019 r., morele.net sp. z o. o. z siedzibą w Krakowie, dalej: „spółka”, ukarana została najwyższą (jak dotychczas) w Polsce karą pieniężną w związku z naruszeniem przepisów w zakresie ochrony danych osobowych po wejściu w życie nowych regulacji w zakresie ochrony danych osobowych w wysokości 2 830 410 złotych, co stanowi równowartość 660 000 euro.

 

Spółka została ukarana tak surowo wobec stwierdzenia naruszenia zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: „RODO” lub „rozporządzenie”, zasad legalności, rzetelności i przejrzystości, wyrażonych w art. 5 ust. 1 lit. a RODO oraz zasady rozliczalności, wyrażonej w art. 5 ust. 2 RODO.

 

Powodem takiej decyzji Prezes UODO było  niewywiązanie się przez spółkę z obowiązku polegającego na zapewnieniu właściwego doboru skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. Spółce zarzucono też nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane są przetwarzane. Spółka nie była nadto w stanie wykazać, od kiedy zbierała dane osobowe użytkowników w celu ułatwienia wypełniania przyszłych wniosków ratalnych i nie przedstawiła klauzul i oświadczeń o wyrażeniu zgody na przetwarzanie przedmiotowych danych.


Poufność

Za najpoważniejsze uznane zostało naruszenie zasady poufności, w myśl której dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem ich przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f RODO).

 

Rozporządzenie zawiera katalog środków technicznych i organizacyjnych, jakie administrator i podmiot przetwarzający zobowiązani są w stosownych przypadkach wdrożyć, mając na celu zapewnienie dostosowanego do poziomu ryzyka stopnia bezpieczeństwa danych. Środkami tymi są:

 

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 RODO).

 

Oceniając czy stopień bezpieczeństwa jest odpowiedni, administrator i podmiot przetwarzający zobowiązani są uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).


Środki bezpieczeństwa

W omawianym przypadku zawodne okazały się stosowane przez spółkę środki w postaci zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. b i d RODO).

 

Spółka nie wywiązała się z zapewnienia dostosowanego do poziomu ryzyka bezpieczeństwa na poziomie kontroli dostępu i uwierzytelniania. W ocenie Prezesa UODO kontrola dostępu i uwierzytelnianie to niezbędne środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to też jeden z wzorcowych elementów bezpieczeństwa, na co wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06, której wymogi powinna realizować spółka.

 

Na istotne znaczenie doboru właściwego środka uwierzytelniania pozwalającego na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń wskazuje m. in. międzynarodowa organizacja The Open Web Application Security Project w opracowaniu OWASP Top 10- 2017. The Ten Most Critical Web Application Security Risks oraz  Narodowy Instytut Standaryzacji i Technologii (National Institute of Standards and Technology, NIST) w dokumencie NIST Special Publication 800-63B: Digital Identity Guidelines: Authentication and Lifecycle Management. Dobór właściwego środka uwierzytelniającego powinien być nadto poprzedzony analizą ryzyka i poddawany ciągłym przeglądom. Do powyższych standardów odniósł się wprost Prezes UODO, podkreślając ich rangę w kontekście bezpieczeństwa przetwarzania danych osobowych, jakie powinna zapewnić spółka.


Monitorowanie potencjalnych zagrożeń

Nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane są przetwarzane przyczyniło się do uzyskania nieuprawnionego dostępu do danych osobowych użytkowników zarejestrowanych na stronach internetowych prowadzonych przez spółkę.

 

W konsekwencji wobec części użytkowników zarejestrowanych na stronach internetowych spółki powzięte zostały niebezpieczne ataki phishingowe zmierzające do wyłudzenia od użytkowników danych uwierzytelniających do rachunków bankowych.

 

Z raportów rocznych publikowanych przez CERT Polska wynika, że phishing to aktualnie najczęstsza i najbardziej wyróżniająca się na tle innych zagrożeń bezpieczeństwa informatycznego kategoria incydentów w zakresie ochrony danych, a odsetek tego typu incydentów utrzymuje się od roku 2016 na poziomie ponad 40% (w 2018 r. – ich odsetek wyniósł 44%).

 

Na istotne znaczenie monitorowania potencjalnych zagrożeń wskazuje również Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (European Union Agency for Cybersecurity), dalej: „agencja”, w wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych Guidelines for SMEs on the security of personal data processing. W ocenie agencji monitorowanie zdarzeń w systemach informatycznych jest ważnym z punktu widzenia bezpieczeństwa danych osobowych środkiem umożliwiającym identyfikację potencjalnych wewnętrznych lub zewnętrznych zagrożeń.


Legalność i rzetelność

W toku postępowania kontrolnego ustalono nadto, że spółka przetwarzała dane osobowe osób fizycznych ze złożonych wniosków ratalnych w celu ułatwienia tym osobom złożenia kolejnych wniosków poprzez zastosowanie mechanizmu autouzupełniania formularza ratalnego. Spółka nie była w stanie wykazać od kiedy dane takie były gromadzone, przedstawić dowodów przeprowadzenia analizy procesu przetwarzania danych oraz udowodnić, że uzyskała zgodę na ich przetwarzanie.

 

Tym samym nie spełniła wymogu przetwarzania danych osobowych zgodnie z zasadą legalności i rzetelności, wg której dane osobowe powinny być przetwarzane zgodnie z prawem oraz rzetelnie (uczciwie) (art. 5 ust. 1 lit. a RODO). Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza m.in. konieczność spełnienia co najmniej jednej z przesłanek legalności przetwarzania danych, które zostały określone w art. 6 RODO i zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych.

W sytuacji gdy przetwarzanie odbywa się na podstawie zgody, administrator musi wykazać (zgodnie z zasadą rozliczalności), że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych (art. 7 ust. 1 RODO). W sytuacji gdy administrator nie jest w stanie wykazać, że dana osoba wyraziła zgodę na przetwarzanie danych o określonej treści, zgoda taka może być kwestionowana.


Skuteczność zastosowanych rozwiązań

Z uwagi na skalę przetwarzanych danych osobowych, ich zakres i kontekst przetwarzania, w ocenie Prezesa UODO morele.net sp. z o. o. nie wywiązała się z obowiązku zapewnienia odpowiednich środków bezpieczeństwa gwarantujących przetwarzanym danym skuteczną ochronę. Z uzasadnienia decyzji wynika, że spółka tylko w ograniczonym stopniu spełniła wymagania w zakresie ochrony danych, a zastosowane przez nią środki w rezultacie nie przyczyniły się do optymalnego obniżenia poziomu ryzyka. Niewątpliwie wdrożenie właściwych środków bezpieczeństwa zapewniających niezbędny poziom ochrony danych znacznie obniżyłoby ryzyko uzyskania do nich nieuprawnionego dostępu i zminimalizowałoby ryzyko naruszenia praw i wolności użytkowników.

 

W przypadku zainteresowania naszą pomocą w zakresie doboru właściwych rozwiązań zapewniających bezpieczeństwo przetwarzanych danych osobowych, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.

 

Aneta Siwek

 

16.12.2019

Kontakt

Contact Person Picture

Jarosław Kamiński

adwokat

Associate Partner

+48 22 244 00 27

Wyślij zapytanie

Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.
Deutschland Weltweit Search Menu