Sprzymierzeńcem administratora przy identyfikacji naruszeń jest CZAS

Prezes UODO nałożył kolejną karę pieniężną tym razem na Cyfrowy Polsat S.A. w wysokości 1.136.975 zł.
Jak czytamy w decyzji: Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych. 

Cyfrowy Polsat S.A. regularnie zgłaszał naruszenia ochrony danych osobowych klientów Spółki do organu nadzorczego. Naruszenia polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe takie jak: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, seria i numer dowodu osobistego lub innego dokumentu tożsamości, numer telefonu oraz danych dotyczących łączących stron umów. Dodatkowo okazało się, że 60% łącznej liczby naruszeń firma kurierska wykrywała i raportowała dopiero po 60 lub więcej dniach od ich zaistnienia, natomiast w przypadku ponad 33% po ponad 90 dniach od zdarzenia. Ponad 17% ogólnej liczby naruszeń zgłoszonych w czerwca 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r.,
co oznacza, że zostały one zidentyfikowane dopiero po ponad 120 dniach. Dlaczego też  kara w takiej wysokości.

Spółka tłumaczyła się m.in. tym, że osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą, co w ocenie firmy kurierskiej powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą. A w praktyce może okazać się, że właśnie w takich przypadkach może wystąpić wysokie ryzyko naruszenia praw i wolności. Takie przypadki wcale nie są odosobnione.

Organ nadzorczy wskazał następujące naruszenia przepisów RODO:

  1. Niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO.
  2. Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia.

Prezes UODO wskazał również w swojej decyzji, że Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.

Jakie wnioski płyną dla wszystkich z tej decyzji organu nadzorczego?

  • Administratorze sprawuj efektywny i realny nadzór nad działaniami podmiotów przetwarzających.
  • W razie potrzeby dokonaj weryfikacji i w miarę potrzeb aktualizacji zawartej umowy powierzenia przetwarzania danych osobnych.
  • Pamiętaj, że nie wystarczy samo zgłoszenie naruszenia do organu nadzorczego, jeżeli jego wykrycie jest opóźnione.
  • Administrator i podmiot przetwarzający mają obowiązek szybkiego identyfikowania naruszenia.

Warto w tym miejscu wspomnieć Motyw 87 RODO:

Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.

Pamiętaj! Aby każde naruszenie indywidualnie rozpatrywać a metodologia ENISA jest tylko narzędziem wspomagającym przeprowadzenie oceny stopnia naruszenia ochrony danych.

Przypominamy! Odpowiedzialność zawsze ciąży na administratorze, a RODO daje ci narzędzia do tego aby weryfikować podmiot przed zawarciem umowy powierzenia a potem abyś mógł go kontrolować i wydawać instrukcje – korzystaj z tego.

Szybko reaguj! Jeżeli jako administrator widzisz pierwsze oznaki nieprzestrzegania warunków zawartej umowy powierzenia nie czekaj … działaj … czas działa albowiem na twoją niekorzyść.  

 

Prezes UODO podejmując decyzję o nałożeniu kary pieniężnej na Spółkę wziął pod uwagę następujące okoliczności:

  1. Charakter, wagę i czas trwania naruszenia – i tutaj kluczowe znaczenie miały opóźnienia w zawiadamianiu klientów Spółki o naruszeniu ochrony ich danych osobowych, gdzie czas ten w niektórych przypadkach wyniósł ponad 120 dni.
  2. Stopień odpowiedzialności Spółki jako administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych – zarzut brak nadzoru nad podmiotem świadczącym usługi kurierskie oraz brak wdrożenia mechanizmów gwarantujących skuteczność środków mających zapewnić identyfikowanie naruszeń.
  3. Kategorie danych osobowych, których dotyczyło naruszenie – bardzo szeroki zakres danych osobowych oprócz danych indentyfikacyjno-kontaktowych m.in. numer PESEL, ID kontaktu, numer i kwota faktury VAT oraz numer konta do wpłat. Zdaniem Prezesa UODO tak szeroki zakres danych osobowych ujawniony osobom nieupoważnionym przez długi czas bez wiedzy i możliwości reakcji tych podmiotów narażał je na duże ryzyko naruszenia ich praw i wolności.

Czynnikiem łagodzącym wysokość kary był stopnień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

W uzupełnieniu: Operatorzy pocztowi oraz firmy kurierskie są co do zasady odrębnymi administratorami jednakże należy zauważyć, że podmiot realizujący usługę nie ma wiedzy, czy i jakie dane zawiera list lub przesyłka. W związku z tym dużo wątpliwości występuje w zakresie co do określenia: czy i w odniesieniu do jakich danych osobowych operator usług pocztowych jest administratorem i jaki podmiot ponosi odpowiedzialność za naruszenia w przypadku  ujawnienia danych zawartych w niedoręczonych lub zagubionych przesyłkach. Obowiązki administratora w rozumieniu przepisów RODO operator pocztowy oraz firma kurierska wykonuje wyłącznie w odniesieniu do takich danych, jak imiona, nazwiska i adresy osób, do których kierowana jest korespondencji. Administratorem danych osobowych zawartych w korespondencji pozostaje podmiot je wysyłający, a w omawianym przypadku Cyfrowy Polsat. Reasumując: tylko nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki, i ma tym samym możliwości wykonania obowiązku z art. 33 i 34 RODO. Firma kurierska takiej wiedzy nie posiada i posiadać nie może.

 

Źródło: https://uodo.gov.pl/pl/138/2048 oraz https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020

Autor

Ewa Kornacka

Inspektor Ochrony Danych, Prezes i Założycielka Klubu Inspektorów Ochrony Danych.
Od 1996 roku związana z rynkiem ubezpieczeniowym, a od lipca 2017 roku z obszarem zarządzania danymi osobowymi. Współautorka publikacji dotyczących programów audytu dla procesów i obszarów działalności zakładu ubezpieczeń. W latach 2013-2018 pełniła funkcję Menedżera Ciągłości Działania, a następnie Kierownika Zespołu ds. wdrożenia RODO w zakładzie ubezpieczeń.