Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Sprzymierzeńcem administratora przy identyfikacji naruszeń jest CZAS

Sprzymierzeńcem administratora przy identyfikacji naruszeń jest CZAS

16.06.2021
Autor: Ewa Kornacka
Sankcje, kary finansowe RODO

Prezes UODO nałożył kolejną karę pieniężną tym razem na Cyfrowy Polsat S.A. w wysokości 1.136.975 zł.
Jak czytamy w decyzji: Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych.

Cyfrowy Polsat S.A. regularnie zgłaszał naruszenia ochrony danych osobowych klientów Spółki do organu nadzorczego. Naruszenia polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe takie jak: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, seria i numer dowodu osobistego lub innego dokumentu tożsamości, numer telefonu oraz danych dotyczących łączących stron umów. Dodatkowo okazało się, że 60% łącznej liczby naruszeń firma kurierska wykrywała i raportowała dopiero po 60 lub więcej dniach od ich zaistnienia, natomiast w przypadku ponad 33% po ponad 90 dniach od zdarzenia. Ponad 17% ogólnej liczby naruszeń zgłoszonych w czerwca 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r.,
co oznacza, że zostały one zidentyfikowane dopiero po ponad 120 dniach. Dlaczego też kara w takiej wysokości.

Spółka tłumaczyła się m.in. tym, że osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą, co w ocenie firmy kurierskiej powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą. A w praktyce może okazać się, że właśnie w takich przypadkach może wystąpić wysokie ryzyko naruszenia praw i wolności. Takie przypadki wcale nie są odosobnione.

Organ nadzorczy wskazał następujące naruszenia przepisów RODO:

Niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO.
Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia.

Prezes UODO wskazał również w swojej decyzji, że Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.

Jakie wnioski płyną dla wszystkich z tej decyzji organu nadzorczego?

Administratorze sprawuj efektywny i realny nadzór nad działaniami podmiotów przetwarzających.
W razie potrzeby dokonaj weryfikacji i w miarę potrzeb aktualizacji zawartej umowy powierzenia przetwarzania danych osobnych.
Pamiętaj, że nie wystarczy samo zgłoszenie naruszenia do organu nadzorczego, jeżeli jego wykrycie jest opóźnione.
Administrator i podmiot przetwarzający mają obowiązek szybkiego identyfikowania naruszenia.

Warto w tym miejscu wspomnieć Motyw 87 RODO:

Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.

Pamiętaj! Aby każde naruszenie indywidualnie rozpatrywać a metodologia ENISA jest tylko narzędziem wspomagającym przeprowadzenie oceny stopnia naruszenia ochrony danych.

Przypominamy! Odpowiedzialność zawsze ciąży na administratorze, a RODO daje ci narzędzia do tego aby weryfikować podmiot przed zawarciem umowy powierzenia a potem abyś mógł go kontrolować i wydawać instrukcje – korzystaj z tego.

Szybko reaguj! Jeżeli jako administrator widzisz pierwsze oznaki nieprzestrzegania warunków zawartej umowy powierzenia nie czekaj … działaj … czas działa albowiem na twoją niekorzyść.

Prezes UODO podejmując decyzję o nałożeniu kary pieniężnej na Spółkę wziął pod uwagę następujące okoliczności:

Charakter, wagę i czas trwania naruszenia – i tutaj kluczowe znaczenie miały opóźnienia w zawiadamianiu klientów Spółki o naruszeniu ochrony ich danych osobowych, gdzie czas ten w niektórych przypadkach wyniósł ponad 120 dni.
Stopień odpowiedzialności Spółki jako administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych – zarzut brak nadzoru nad podmiotem świadczącym usługi kurierskie oraz brak wdrożenia mechanizmów gwarantujących skuteczność środków mających zapewnić identyfikowanie naruszeń.
Kategorie danych osobowych, których dotyczyło naruszenie – bardzo szeroki zakres danych osobowych oprócz danych indentyfikacyjno-kontaktowych m.in. numer PESEL, ID kontaktu, numer i kwota faktury VAT oraz numer konta do wpłat. Zdaniem Prezesa UODO tak szeroki zakres danych osobowych ujawniony osobom nieupoważnionym przez długi czas bez wiedzy i możliwości reakcji tych podmiotów narażał je na duże ryzyko naruszenia ich praw i wolności.

Czynnikiem łagodzącym wysokość kary był stopnień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

W uzupełnieniu: Operatorzy pocztowi oraz firmy kurierskie są co do zasady odrębnymi administratorami jednakże należy zauważyć, że podmiot realizujący usługę nie ma wiedzy, czy i jakie dane zawiera list lub przesyłka. W związku z tym dużo wątpliwości występuje w zakresie co do określenia: czy i w odniesieniu do jakich danych osobowych operator usług pocztowych jest administratorem i jaki podmiot ponosi odpowiedzialność za naruszenia w przypadku ujawnienia danych zawartych w niedoręczonych lub zagubionych przesyłkach. Obowiązki administratora w rozumieniu przepisów RODO operator pocztowy oraz firma kurierska wykonuje wyłącznie w odniesieniu do takich danych, jak imiona, nazwiska i adresy osób, do których kierowana jest korespondencji. Administratorem danych osobowych zawartych w korespondencji pozostaje podmiot je wysyłający, a w omawianym przypadku Cyfrowy Polsat. Reasumując: tylko nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki, i ma tym samym możliwości wykonania obowiązku z art. 33 i 34 RODO. Firma kurierska takiej wiedzy nie posiada i posiadać nie może.

Źródło: https://uodo.gov.pl/pl/138/2048 oraz https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020

Autor

Ewa Kornacka

Inspektor Ochrony Danych, Prezes i Założycielka Klubu Inspektorów Ochrony Danych.
Od 1996 roku związana z rynkiem ubezpieczeniowym, a od lipca 2017 roku z obszarem zarządzania danymi osobowymi. Współautorka publikacji dotyczących programów audytu dla procesów i obszarów działalności zakładu ubezpieczeń. W latach 2013-2018 pełniła funkcję Menedżera Ciągłości Działania, a następnie Kierownika Zespołu ds. wdrożenia RODO w zakładzie ubezpieczeń.

Z tej samej kategorii

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>