Decyzje UODO: sprawdź, za jakie naruszenia były nakładane kary

Prezentujemy wybrane decyzje prezesa Urzędu Ochrony Danych Osobowych, które zostały wydane w ostatnim czasie. Ich analiza z pewnością pomoże w wyciągnięciu konstruktywnych wniosków oraz we wprowadzeniu zmian w wielu organizacjach - pisze Anna Dąbrowska-Lipka, adwokat, senior associate KWKR Konieczny Wierzbicki i Partnerzy S.K.A.

Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO), który jest organem właściwym w sprawie ochrony danych osobowych, może – jako organ nadzorczy – udzielać upomnień, ostrzeżeń i nakazów oraz nakładać administracyjne kary pieniężne. Reakcja PUODO powinna uwzględniać m.in.: charakter i wagę czynu, liczbę poszkodowanych osób, rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie, oraz rodzaj działań podjętych w celu zminimalizowania szkody. Przy czym prawodawca unijny wprowadził w RODO dwa maksymalne progi kar pieniężnych, tj.:

• do 10 mln euro,
• a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) oraz ich dwukrotność w przypadku ciężkich naruszeń.

Poniżej prezentujemy wnioski wynikające z wybranych decyzji PUODO wydanych w ostatnim czasie wraz z ich omówieniem. Ich analiza z pewnością pomoże w wyciągnięciu konstruktywnych wniosków oraz we wprowadzeniu zmian w wielu organizacjach.

niewłaściwe zabezpieczenia

Każdy podmiot, który przetwarza dane, zarówno administrator (podmiot decydujący o celach i środkach przetwarzania danych osobowych), jak i procesor (przetwarza dane osobowe w imieniu administratora), powinni wdrożyć właściwe środki, by zapewnić bezpieczeństwo przetwarzanym danym.

▶ Zgubienie nośnika pamięci

Zacznijmy od sytuacji, która pozwoli na uświadomienie sobie, jakie środki należy stosować, by właściwie zabezpieczyć dane. Otóż w jednym z sądów doszło do zgubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego – oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych urządzeniach znajdowały się projekty orzeczeń wraz z uzasadnieniami z okresu prawie szesnastu lat. W wyniku incydentu naruszono poufność przetwarzanych danych. W toku prowadzonych przez organ nadzorczy czynności ustalono, że sąd wdrożył stosowne procedury. Wynikał z nich zakaz użytkowania prywatnych nośników danych, jednakże administrator nie prowadził nadzoru nad tym, czy pracownicy stosują się do wewnętrznych polityk. Czy instrukcje oraz szkolenia można uznać w tym przypadku za wystarczające zabezpieczenia? PUODO stwierdził, że nie. Jego zdaniem sam zakaz połączony z instruktażem nie stanowią adekwatnych środków w zakresie minimalizacji ryzyka, zwłaszcza biorąc pod uwagę zakres i charakter danych przetwarzanych przez pracowników sądu. Jego zdaniem tego typu rozwiązania organizacyjne nie mogą zastąpić technicznych zabezpieczeń. PUODO podkreślił, że środki techniczne oraz organizacyjne powinny się uzupełniać. Tak więc w opisanej sprawie sąd powinien wdrożyć obok istniejących rozwiązań organizacyjnych (tj. procedur opisujących sposób korzystania z nośników pamięci oraz szkoleń) odpowiednie mechanizmy techniczne, np. blokadę portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. PUODO stwierdził, że sąd nie wdrożył odpowiednich zabezpieczeń dostosowanych do ryzyka przetwarzania danych przy użyciu zewnętrznych nośników. W efekcie ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem przechowywanych na nich informacji była zdecydowania zbyt niska. Z tego powodu sąd został ukarany karą pieniężną w wysokości 10 000 zł (decyzja PUODO z 13 lipca 2021 r., znak sprawy: DKN.5131.22.2021).

Wskazówka: Dobór właściwych zabezpieczeń stanowi wyzwanie dla wszystkich podmiotów przetwarzających dane. W wielu przypadkach administratorzy decydują się na tańsze i łatwiejsze do wprowadzenia środki organizacyjne, takie jak instrukcje postępowania oraz szkolenia, pomijając techniczne zabezpieczenia, np. blokady dostępu. Tymczasem wdrożone rozwiązania powinny być skuteczne oraz adekwatne do charakteru i zakresu danych. Podejmując decyzję w tym przedmiocie, warto odpowiedzieć sobie na następujące pytania:

• Czy jeżeli wszyscy pracownicy zatrudnieni w danym podmiocie uzyskają dostęp do całej bazy danych wraz z jednoczesną informacją, że powinni korzystać tylko z tych danych, które są niezbędne do wykonywania ich obowiązków, będzie to skuteczne?
• Ile osób nie zastosuje się do tego zakazu, mimo szkoleń i instrukcji?
• Ile osób, świadomie bądź przez nieuwagę, zmodyfikuje dane mimo braku upoważnienia?
• Czy wprowadzenie limitacji dostępu na poziomie technicznym (różne uprawnienia systemowe poszczególnych użytkowników) może zostać zastąpione szkoleniami bez uszczerbku dla poziomu ochrony danych osobowych?

▶ Kradzież służbowego laptopa

Przeanalizujmy teraz kolejny przypadek, który również może się zdarzyć w wielu organizacjach, zwłaszcza w dobie pracy zdalnej. Ten miał miejsce w urzędzie gminy, gdzie skradziono służbowy laptop z danymi osobowymi pracownika urzędu. Komputer był zabezpieczony przed nieupoważnionym dostępem jedynie za pomocą hasła. Administrator w ramach przeprowadzonej analizy ryzyka określił zdarzenie w postaci kradzieży/zgubienia sprzętu jako nieakceptowalne. W ramach zabezpieczeń przewidział szyfrowanie dysków. Jednakże skradziony laptop nie został w ten sposób zabezpieczony. Tym samym administrator nie zastosował się do własnej polityki bezpieczeństwa. Wójt gminy wyjaśnił, że ze względu na konieczność przeprowadzenia prac przygotowujących urząd do nowego roku wdrożenie zabezpieczeń na wskazanym laptopie zostało odłożone w czasie. Powyższa okoliczność nie została uznana za usprawiedliwienie przez PUODO. Nałożona kara wyniosła 8000 zł (decyzja PUODO z 2 listopada 2022 r., znak sprawy: DKN.5131.8.2022).

Wskazówka: Oprócz kwestii doboru właściwych zabezpieczeń warto zwrócić uwagę także na:

• postępowanie zgodne z własnymi procedurami,
• ich aktualizację oraz
• nadzór nad przestrzeganiem.

Zabezpieczenia powinny zostać dostosowane do organizacji. Zazwyczaj wprowadzone środki zapewniają zbyt niski poziom bezpieczeństwa. Jednakże problemem mogą okazać się również zbyt restrykcyjne wymogi wdrożone w ramach wewnętrznych procedur – w sytuacji gdy nie będą respektowane. Jeżeli np. wprowadzimy obowiązek szkoleń przypominających dla wszystkich pracowników co najmniej raz na kwartał, a później odstąpimy od takiej częstotliwości, uznając, że instruktaż raz na pół roku dla dotychczasowych pracowników jest wystarczający, co będzie uzasadnione, i nie zmienimy wewnętrznych polityk, będziemy postępować niezgodnie z własnymi procedurami.

▶ Wyciek danych ponad 130 tys. klientów

Kolejna decyzja dotyczyła incydentu na bardzo dużą skalę. Naruszenia można było uniknąć, wdrażając właściwe zabezpieczenia. Spółka zajmująca się m.in. obrotem energią elektryczną (administrator) zawarła umowę z dostawcą usług informatycznych (procesorem). Procesor otrzymał od swojego klienta zgłoszenie nieprawidłowego (powolnego) działania systemu. Rozpoczął pracę nad wdrożeniem zmian. W tym celu powierzył utworzenie nowego serwera, a następnie przystąpił do zasilania bazy danych rzeczywistymi danymi klientów spółki. Czynności nie zostały poprzedzone przeprowadzeniem testów. W trakcie dokonywanych zmian została utworzona dodatkowa baza danych klientów. W momencie wprowadzania zmian w środowisku informatycznym doszło do naruszenia ochrony danych osobowych. Baza została skopiowana przez nieuprawnione osoby, gdyż serwer, na którym ją wdrożono, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator dowiedział się o incydencie od dwóch internautów, którzy powiadomili go o posiadaniu nieuprawnionego dostępu do bazy.

W toku postępowania ustalono, że procesor działał niezgodnie z powszechnie znanymi normami ISO, które m.in. wyznaczają aktualne standardy bezpieczeństwa. Nie przestrzegał również własnej polityki bezpieczeństwa, która do tych norm się odwoływała. Dopuścił się także naruszenia postanowień umowy powierzenia zawartej z administratorem. Gdyby wdrożył pseudonimizację zgodnie z zobowiązaniem, osoby nieuprawnione, które weszłyby w posiadanie speudonimizowanych danych, nie byłyby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami. W trakcie dokonywania zmian w środowisku informatycznym administrator nie prowadził żadnego nadzoru nad działaniem procesora. Co więcej, przed zawarciem umowy z procesorem administrator nie przeprowadził jego weryfikacji oraz nie wykonał niezbędnej kontroli. Poprzestał jedynie na pozytywnej ocenie dostawcy wynikającej z dotychczasowej współpracy. To zdaniem PUODO zdecydowanie zbyt mało. Organ nadzorczy uznał, że administrator oraz procesor nie wdrożyli odpowiednich zabezpieczeń, co skutkowało naruszeniem ich poufności. Dodatkowo administrator nie przeprowadził weryfikacji procesora pod kątem zapewnienia wdrożenia odpowiednich środków. Kary wyniosły odpowiednio: w przypadku administratora – 4 911 732 zł, a procesora – 250 135 zł (decyzja PUODO z 22 stycznia 2022 r., znak sprawy: DKN.5130.2215.2020)

Wskazówka: Zapewnienie odrębnych środowisk do celów rozwojowych, testowych oraz operacyjnych jest bardzo istotne. Dane dotyczące produkcji (dane rzeczywiste) nie powinny być wykorzystywane poza środowiskiem produkcyjnym. Jeżeli konieczne jest ich skopiowanie do środowiska testowego, rekomenduje się zastosowanie bezpiecznych technik anonimizacji lub pseudonimizacji danych, by w ten sposób zapewnić ochronę przed negatywnymi konsekwencjami wycieku.

▶ Brak zawarcia umowy powierzenia oraz weryfikacji procesora

Właściwe powierzenie przetwarzania danych wciąż stanowi wyzwanie dla wielu podmiotów, o czym świadczy sprawa, która dotyczyła jednego z ośrodków kultury. Instytucja ta (administrator) zleciła dostawcy usług (procesorowi) m.in. prowadzenie ksiąg rachunkowych. Jednocześnie powierzył mu przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia. Ponadto nie sprawdził, czy usługodawca zapewnia wystarczające gwarancje w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Za powyższe naruszenia został ukarany karą pieniężną w wysokości 2500 zł (decyzja PUODO z 16 sierpnia 2022 r., znak sprawy: DKN.5131.29.2022).

Wskazówka: Przed powierzeniem przetwarzania danych osobowych innemu podmiotowi (np. biuru rachunkowemu, dostawcy usług IT, agencji marketingowej itd.) należy zawrzeć umowę powierzenia przetwarzania danych osobowych w formie pisemnej lub elektronicznej. Umowa powinna zawierać elementy wskazane w art. 28 ust. 3 RODO. Sporządzając stosowną umowę lub weryfikując jej wzór dostarczony przez kontrahenta, warto przenalizować treść takiego dokumentu pod kątem spełnienia wszystkich wymogów wskazanych w powyższym przepisie. Nie każda umowa, którą dostajemy od usługodawcy, spełnia wymogi RODO.

nieprawidłowe postępowanie w przypadku wystąpienia naruszeń

▶ Zgubienie przesyłek pocztowych oraz niezgłoszenie incydentu PUODO

W jednej ze spraw rozpatrywanej przez PUODO bank powierzył firmie kurierskiej doręczenie przesyłek do swojej centrali. Zawierały one wiele danych osobowych przekazanych przez klientów w związku z procedurą założenia konta bankowego, m.in.: imię, nazwisko, PESEL, adres, numer rachunku bankowego. Korespondencja została zgubiona przez dostawcę. Mimo podejmowanych prób nie udało się jej odnaleźć. Administrator uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie. Z tego powodu nie zgłosił tego naruszenia organowi nadzorczemu. Podmiotom danych (klientom, których dane zostały zgubione) przekazał tylko bardzo ogólne informacje o zdarzeniu. Nie wskazał przy tym, z jakimi konsekwencjami powinni się liczyć oraz jakie zostały podjęte środki, żeby zminimalizować ryzyko ich wystąpienia. Osoby te powiadomiły PUODO o incydencie.

Organ nadzorczy nie zgodził się z oceną banku. Zdaniem PUODO ryzyko naruszenia praw lub wolności klientów banku było wysokie. Ponadto wskazał na kilka istotnych wytycznych przydatnych do przeprowadzenia analizy w przypadku wystąpienia podobnych zdarzeń. Po pierwsze, nie jest istotna okoliczność, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób – bank argumentował, że przesyłki zapewne zalegają w sortowni, więc najprawdopodobniej nigdy nie zostały udostępnione osobom nieuprawnionym. Tymczasem skoro administrator nie ma wiedzy na temat tego, gdzie aktualnie znajduje się przesyłka i co stało się z zawartymi w niej danymi osobowymi podmiotów danych, należy przyjąć, że nastąpiło naruszenie skutkujące ryzykiem nieuprawnionego ich ujawnienia. Po drugie, obowiązek zawiadomienia o naruszeniu podmiotów danych aktualizuje się, gdy występuje sama możliwość negatywnych konsekwencji. Nie jest konieczne ich zmaterializowanie. Wystarczy wystąpienie ryzyka w tym zakresie. Sam fakt posiadania przez bank informacji, zgodnie z którymi dane nie posłużyły do wyłudzenia kredytu, nie może stanowić podstawy do odstąpienia od wykonania obowiązków w tym zakresie.

Podstawą nałożenia kary było zatem niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osób, których dane dotyczą. Bank został ukarany karą w wysokości 36 3832 zł (decyzja PUODO z 14 października 2021 r., znak sprawy: DKN.5131.16.2021)

Wskazówka: Nie jest to jedyna sytuacja, w której administrator arbitralnie zaniżył poziom ryzyka w swojej analizie. Przegląd decyzji PUODO wskazuje, że o wielu naruszeniach organ nadzorczy dowiedział się w wyniku zawiadomienia dokonanego przez komendantów policji, osób, których dane zostały naruszone, albo podmiotów, które dostrzegły nieprawidłowości (np. zauważyły wyciek danych, uzyskały korespondencję skierowaną do innej osoby). Jak prawidłowo postąpić w przypadku wystąpienia naruszenia? Przede wszystkim należy wdrożyć odpowiednie procedury i polityki oraz przeprowadzić szkolenia pracowników. W przypadku wystąpienia naruszenia bardzo ważny jest też czas reakcji. Otóż zgłoszenie do PUODO powinno być dokonane w ciągu zaledwie 72 godzin od dnia uzyskania wiedzy w tym zakresie. W tym czasie należy dopełnić wielu obowiązków. W przypadku wystąpienia naruszenia nie ma czasu na tworzenie schematów postępowania ad hoc, od podstaw, organizacja musi zostać wcześniej przygotowana na ewentualne naruszenia. Kolejny kluczowy element przygotowań to analiza ryzyka oraz prawdopodobieństwa wystąpienia naruszeń praw lub wolności osób fizycznych. To bardzo wymagające zadanie. W tym celu warto aktualizować swoją wiedzę o bieżące rekomendacje Europejskiej Rady Ochrony Danych oraz analizę decyzji PUODO.

W przypadku wystąpienia naruszenia administrator powinien:

1) dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze;

2) zgłaszać przypadki naruszenia organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

3) zawiadamiać bez zbędnej zwłoki osobę, której dane dotyczą, o naruszeniu, jeżeli takie naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

▶ Udostępnienie danych podczas konferencji prasowej

Niedopełnienia obowiązków w przypadku wystąpienia naruszenia dopuściła się również jedna ze spółdzielni mieszkaniowych. Jeden z jej członków z uwagi na swoje niezadowolenie z wysokości opłat eksploatacyjnych wszczął w lokalnych mediach i internecie kampanię przeciw spółdzielni mieszkaniowej. Na skutek tego zachowania spółdzielnia złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa, a następnie zwołała konferencję prasową dla dziennikarzy. Podczas niej udostępniła kserokopię zawiadomienia (obejmującą: imię, nazwisko, PESEL i adres zamieszkania członka spółdzielni), inspektor ochrony danych osobowych podmiotu bowiem uznał, że ryzyko naruszenia jest niskie, ponieważ osoba, której dane dotyczą, sama upubliczniała swoje dane w internecie (w trakcie prowadzonej kampanii), ponadto dokument został ujawniony wyłącznie dziennikarzom. Z tych powodów zaniechano dokonywania zgłoszenia do PUODO oraz zawiadomienia mieszkańca. O zdarzeniu organ nadzorczy dowiedział się od dziennikarza.

PUODO uznał, że ryzyko naruszenia wolności i praw mieszkańca w związku z ujawnieniem jego danych osobom nieuprawnionym było wysokie. Ponadto po raz kolejny podkreślił, że PESEL jest unikalnym identyfikatorem osoby. Zawiera bowiem w sobie wiele informacji na jej temat. Jego ujawnienie osobie niepowołanej może rodzić wiele konsekwencji. Odnosząc się do argumentacji spółdzielni, podkreślił, że nawet potwierdzenie zasadności podnoszonych przez administratora zarzutów wobec mieszkańca nie oznacza, że jego dane osobowe nie powinny podlegać takiej samej ochronie jak każdej innej osoby fizycznej w podobnej sytuacji. Po przeprowadzeniu analizy przepisów prawa prasowego stwierdzono, że dziennikarz nie złożył wniosku o udostępnienie zawiadomienia, więc działanie administratora w zakresie udostępnienia mu danych osobowych członka spółdzielni miało charakter nadmiarowy oraz nastąpiło z naruszeniem przez administratora obowiązku ochrony tych danych.

Kara nałożona na spółdzielnię wyniosła 51 876 zł (decyzja PUODO z 1 marca 2023 r., znak sprawy: DKN.5131.49.2021).

Wskazówka: Powyższa sprawa jest kolejnym przykładem braku prawidłowej, pogłębionej analizy w zakresie oceny ryzyka naruszenia praw osoby, której dane osobowe zostały ujawnione. Ocena powinna być dokonywana przez pryzmat osoby zagrożonej, a nie interesów administratora. Często zapomina się również o istotnych funkcjach zawiadomienia i zgłoszenia. Po uzyskaniu pełnej informacji o incydencie osoba zagrożona może zareagować na niego, podjąć działania zaradcze i ustalić, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię w zakresie bezpiecznego przetwarzania jej danych. Natomiast brak zgłoszenia naruszenia pozbawia organ nadzorczy możliwości reakcji na naruszenie.

▶ Zgubienie świadectwa pracy

O tym, że administratorzy nie uczą się na błędach innych oraz mają duży problem z przeprowadzeniem właściwej analizy ryzyka w przypadku wystąpienia naruszenia, świadczy kolejna decyzja PUODO. Spółka zgubiła świadectwo pracy swojego pracownika. Nie zgłosiła naruszenia organowi nadzorczemu. W jej ocenie nie wiązało się ono z ryzykiem naruszenia praw lub wolności pracownika. Co prawda został on zawiadomiony o utracie świadectwa pracy, jednakże nie zgłaszał z tego tytułu roszczeń wobec spółki.

PUODO został powiadomiony przez policję. W toku prowadzonych czynności ustalono, że oprócz podstawowych danych, takich jak: imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą, np. tryb i podstawa prawna rozwiązania stosunku pracy, informacje o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym. Ostatecznie kara nałożona na spółkę wyniosła 15 994 zł (decyzja PUODO z 6 czerwca 2022 r., znak sprawy: DKN.5110.12.2021).

Wskazówka: Sprawa ta wskazuje, że incydent, który powinien zostać zgłoszony PUODO, może dotyczyć wyłącznie jednego dokumentu i jednej osoby. Ponadto brak reakcji podmiotu danych nie może stanowić podstawy do odstąpienia od wymaganych na gruncie RODO obowiązków.

▶ Przetwarzanie danych bez podstawy prawnej

Kolejny omawiany przypadek dotyczy stosowania zasady legalności. Komendant powiatowy policji poinformował PUODO o możliwości naruszenia przepisów RODO przez spółkę świadczącą pomoc prawną w dochodzeniu odszkodowań, zadośćuczynień oraz rent na rzecz osób poszkodowanych, głównie w wypadkach komunikacyjnych. W wyniku wszczętej kontroli organ nadzorczy ustalił, że spółka aktywnie poszukiwała potencjalnych klientów. W tym celu pozyskiwała informacje z wiadomości prasowych, publikacji internetowych, komunikatów rozpowszechnianych przez fundacje i inne organizacje prowadzące działalność dobroczynną. Przeszukiwała również prywatne profile osób fizycznych dostępnych w mediach społecznościowych. Dodatkowo spółka prowadziła wywiady środowiskowe, poszukując danych o potencjalnych klientach, m.in. podczas rozmów z sąsiadami. Przeprowadzała również analizę nekrologów na cmentarzach. Po uzyskaniu informacji kontaktowała się bezpośrednio z potencjalnym klientem oraz przedstawiała mu swoją ofertę. Dopiero na tym etapie spółka prosiła o udzielenie ustnej zgody na przetwarzanie danych osobowych. Na jakiej zatem podstawie przetwarzała dane przed odbyciem rozmowy z potencjalnym zleceniodawcą?

Spółka wskazywała na niezbędność danych do wykonania umowy. Z takim stanowiskiem zdecydowanie nie zgodził się PUODO. Umowa nie została bowiem jeszcze zawarta z klientem. Jego zdaniem nie można również mówić o przesłance w postaci podjęcia działań na żądanie klientów przed zawarciem z nimi umów. Skoro przyszły klient w ogóle nie wiedział, że spółka zbiera o nim dane oraz ustala opłacalność ewentualnego prowadzenia jego sprawy, nie możemy mieć do czynienia z żadnym żądaniem z jego strony.

PUODO szczegółowo przeanalizował również inne podstawy przetwarzania danych, m.in. uzasadniony interes administratora danych. Zdaniem organu nadzorczego cele realizowane przez spółkę nie wymagają pozyskiwania od potencjalnych klientów ich danych osobowych, a w szczególności danych dotyczących zdrowia. Wskazany wyżej cel można osiągnąć w inny sposób, np. pozostawiając ulotki informujące o jej usługach.

W wyniku analizy PUODO ustalił, że przetwarzanie danych osobowych potencjalnych klientów przez spółkę może się odbywać wyłącznie wówczas, gdy podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych. Takie zgody nie były jednak pozyskiwane. Spółce nakazano dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej, tj. bez uzyskania zgody na przetwarzanie ich danych osobowych. Ponadto została nałożona kara pieniężna w wysokości 45 697 zł (decyzja PUODO z 30 listopada 2022 r., znak sprawy: DKN.5112.5.2021).

Wskazówka: Administrator danych osobowych powinien zawsze zweryfikować, czy istnieje podstawa przetwarzania danych osobowych. W tym celu należy przeanalizować przede wszystkim art. 6 (dotyczący tzw. danych zwykłych) oraz art. 9 RODO (w zakresie tzw. danych wrażliwych, np. o stanie zdrowia). Jeżeli żadna z przesłanek nie znajduje zastosowania (tak jak w analizowanym przypadku), przetwarzanie następuje bez podstawy prawnej, co stanowi naruszenie RODO, które może stanowić podstawę do nałożenia kary pieniężnej. Nie można bowiem przetwarzać danych osobowych, nie mając podstawy prawnej.

brak współpracy z puodo

Brak współpracy z PUODO może skutkować upomnieniem oraz nałożeniem kary pieniężnej. Ponadto stopień współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia jego ewentualnych negatywnych skutków stanowi jedną z przesłanek, które należy uwzględnić podczas podejmowania decyzji na temat nałożenia administracyjnej kary pieniężnej oraz ustalenia jej wysokości.

▶ Przekazanie danych innemu podmiotowi

Do PUODO wpłynęła skarga, w której klient zarzucił jednemu bankowi przekazanie jego danych osobowych do innego podmiotu bez jego zgody. Organ nadzorczy wszczął postępowanie oraz zwrócił się do banku z wnioskiem o ustosunkowanie się do skargi. Poprosił również o przedstawienie odpowiedzi na zadane pytania. Administrator zaniechał złożenia jakichkolwiek wyjaśnień. Za naruszenie polegające na braku współpracy z organem właściwym ds. ochrony danych osobowych oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji jego zadań została wymierzona kara w wysokości 22 739 zł (decyzja PUODO z 27 kwietnia 2021 r., znak sprawy: DKE.561.23.2020).

Wskazówka: To niejedyny przypadek braku współpracy z PUODO. Pamiętajmy, że organ nadzorczy posiada możliwość nałożenia kary za brak współdziałania, jak również uwzględnia stopień współpracy podczas wymierzania kary za naruszenia. Stopień współpracy może zatem stanowić zarówno okoliczność łagodzącą, jak i obciążającą. Z tego powodu warto odpowiadać na zapytania PUODO w terminie oraz udzielać konkretnych i rzeczowych odpowiedzi i wyjaśnień. ©℗