Prezes Urzędu Ochrony Danych Osobowych nałożył w grudniu 2020 r. aż trzy wysokie kary pieniężne za naruszenie przepisów RODO. O pierwszej z nich, w wysokości prawie 2 mln zł pisaliśmy tutaj, warto jednak przyjrzeć się kolejnym sprawom, bo przyczyny nałożenia kar były różne.

Kara za brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki 

Prezes UODO 9 grudnia 2020 r. nałożył karę w wysokości 85.588,00 zł na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Spółka, w wyniku błędu klienta, który przekazał nieprawidłowy adres e-mailowy, wysłała polisę ubezpieczeniową do nieuprawnionej osoby. Dokument zawierał dane osobowe dwóch osób. Były to: imiona, nazwiska, adresy zamieszkania, numery PESEL, numery telefonów, adresy poczty elektronicznej oraz informacja dotyczące przedmiotu ubezpieczenia (samochodu osobowego). Nieuprawniona osoba, na której adres e-mailowy dotarła wiadomość od agenta ubezpieczeniowego spółki, zgłosiła naruszenie ochrony danych osobowych. O zajściu poinformowała również spółkę, która poprosiła ją o trwałe usunięcie wiadomości oraz o informację zwrotną potwierdzającą jej usunięcie. Co istotne spółka, dopiero w wyniku wszczęcia postępowania przez Prezesa UODO, dokonała zgłoszenia naruszenia ochrony danych osobowych. Dopiero wtedy zawiadomiła też osoby, których dane osobowe zostały naruszone.

Prezes UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Spółka powinna zdawać sobie sprawę z ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail. W ocenie Prezesa UODO, w celu zminimalizowania tych zagrożeń, spółka powinna wprowadzić odpowiednie środki organizacyjne i techniczne. Mogłyby służyć do tego procedura  weryfikacji podanego adresu e-mail czy też szyfrowanie dokumentów przesyłanych w załącznikach.

Ponadto, organ stwierdził, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji, nie minimalizuje ryzyka naruszenia ochrony danych osobowych. Ryzyko dla praw i wolności osób, których dane dotyczą, pozostaje w takiej sytuacji wysokie. Prezes UODO zwrócił uwagę, że spółka nie mogła mieć pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Pełna treść komunikatu oraz decyzji Prezesa UODO dostępna jest tutaj.

 Kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych, naruszenie zasady poufności danych

Kolejna kara administracyjna została nałożona przez Prezesa UODO 17 grudnia 2020 r. ID Finance Poland spółka z ograniczoną odpowiedzialnością w likwidacji została zobowiązana do zapłaty 1.069.850,00 zł. Karę nałożono z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych, w wyniku czego doszło do naruszenia zasady poufności danych osobowych (utraty danych osobowych).

Spółka otrzymała zawiadomienie o wystąpieniu luk w jej zabezpieczeniach. Na jednym z jej serwerów były dostępne dane klientów spółki. Pomimo otrzymanego zawiadomienia spółka nie podjęła odpowiednio szybko niezbędnych działań. Jedynie pobieżnie przeanalizowała otrzymaną informację. Osoba nieuprawniona skopiowała te dane usuwając je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero po tym incydencie spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach. Jednocześnie spółka zgłosiła naruszenie ochrony danych Prezesowi UODO.

Organ uznał, że do naruszenia nie doszłoby, gdyby spółka od razu odpowiednio zareagowała na informację o niezabezpieczonych danych na jej serwerze. W ocenie Prezesa UODO niezdolność spółki do szybkiego stwierdzenia powstałego zagrożenia i jego usunięcia, doprowadziła do utraty danych osobowych.

Pełna treść komunikatu oraz decyzji Prezesa UODO dostępna jest tutaj.

Jak widać w ostatnim czasie Prezes UODO zaczął surowiej reagować na naruszenia ochrony danych osobowych. Co więcej nałożył dotkliwe sankcje majątkowe, nawet w sytuacjach, gdy naruszenie dotyczyło stosunkowej małej liczby osób. Tym bardziej, administratorzy danych osobowych powinni zatem zadbać o zapewnienie, aby gromadzenie i przetwarzanie przez nich danych osobowych odbywało się zgodnie z przepisami RODO.