Sprawdź, jakich naruszeń się nie dopuszczać, by nie zostać ukaranym przez prezesa UODO

Czy o wykrytych w firmie naruszeniach trzeba zawiadamiać Urząd Ochrony Danych Osobowych? Czy w niektórych przypadkach można swobodnie podchodzić do własnych procedur? Na te i inne pytania odpowiadamy, analizując niektóre decyzje wydane przez organ nadzorczy.

Prezes Urzędu Ochrony Danych Osobowych, który jest organem właściwym w sprawie ochrony danych osobowych, może – jako organ nadzorczy – udzielać upomnień, ostrzeżeń i nakazów oraz nakładać administracyjne kary pieniężne. Reakcja prezesa powinna uwzględniać m.in.: charakter i wagę czynu, liczbę poszkodowanych osób, rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie, oraz rodzaj działań podjętych w celu zminimalizowania szkody. Przy czym prawodawca unijny wprowadził w RODO dwa maksymalne progi kar pieniężnych, tj.:

• do 10 mln euro,
• a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) oraz ich dwukrotność w przypadku ciężkich naruszeń.

NIEWŁAŚCIWE ZABEZPIECZENIA

Każdy podmiot, który przetwarza dane, zarówno administrator (podmiot decydujący o celach i środkach przetwarzania danych osobowych), jak i procesor (przetwarza dane osobowe w imieniu administratora), powinien wdrożyć właściwe środki, by zapewnić bezpieczeństwo przetwarzanym danym.

• Zgubienie nośnika pamięci

Zacznijmy od sytuacji, która pozwoli na uświadomienie sobie, jakie środki należy stosować, by właściwie zabezpieczyć dane. Otóż w jednym z sądów doszło do zgubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego – oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych urządzeniach znajdowały się projekty orzeczeń wraz z uzasadnieniami z okresu prawie 16 lat. W wyniku incydentu naruszono poufność przetwarzanych danych.

W toku prowadzonych przez organ nadzorczy czynności ustalono, że sąd wdrożył stosowne procedury. Wynikał z nich zakaz użytkowania prywatnych nośników danych, jednakże administrator nie prowadził nadzoru nad tym, czy pracownicy stosują się do wewnętrznych polityk. Czy instrukcje oraz szkolenia można uznać w tym przypadku za wystarczające zabezpieczenia? Prezes UODO stwierdził, że nie. Jego zdaniem sam zakaz połączony z instruktażem nie stanowi adekwatnych środków w zakresie minimalizacji ryzyka, zwłaszcza jeśli się weźmie pod uwagę zakres i charakter danych przetwarzanych przez pracowników sądu. Jego zdaniem tego typu rozwiązania organizacyjne nie mogą zastąpić technicznych zabezpieczeń. Prezes UODO podkreślił, że środki techniczne oraz organizacyjne powinny się uzupełniać. Tak więc w opisanej sprawie sąd powinien wdrożyć – oprócz istniejących rozwiązań organizacyjnych (tj. procedur opisujących sposób korzystania z nośników pamięci oraz szkoleń) – odpowiednie mechanizmy techniczne, np. blokadę portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych.

Prezes UODO stwierdził, że sąd nie wdrożył odpowiednich zabezpieczeń dostosowanych do ryzyka przetwarzania danych przy użyciu zewnętrznych nośników. W efekcie ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem przechowywanych na nich informacji była zdecydowanie niewystarczająca. Z tego powodu sąd został ukarany karą pieniężną w wysokości 10 000 zł (decyzja prezesa UODO z 13 lipca 2021 r., znak DKN.5131.22.2021).

• Kradzież służbowego laptopa

Przeanalizujmy teraz kolejny przypadek, który również może zajść w wielu organizacjach, zwłaszcza w dobie pracy zdalnej. Ten miał miejsce w urzędzie gminy, gdzie skradziono służbowy laptop z danymi osobowymi pracownika urzędu. Komputer był zabezpieczony przed nieupoważnionym dostępem jedynie za pomocą hasła. Administrator w ramach przeprowadzonej analizy ryzyka określił zdarzenie w postaci kradzieży/zgubienia sprzętu jako nieakceptowalne. W ramach zabezpieczeń przewidział szyfrowanie dysków. Jednak skradziony laptop nie został w ten sposób zabezpieczony. Tym samym administrator nie zastosował się do własnej polityki bezpieczeństwa. Wójt gminy wyjaśnił, że ze względu na konieczność przeprowadzenia prac przygotowujących urząd do nowego roku wdrożenie zabezpieczeń na wskazanym laptopie zostało odłożone w czasie. Powyższa okoliczność nie została uznana przez prezesa UODO za usprawiedliwienie. Nałożona kara wyniosła 8000 zł (decyzja prezesa UODO z 2 listopada 2022 r., znak DKN.5131.8.2022).

• Wyciek danych ponad 130 tys. klientów

Kolejna decyzja dotyczyła incydentu na bardzo dużą skalę. Naruszenia można było uniknąć, wdrażając właściwe zabezpieczenia. Spółka zajmująca się m.in. obrotem energią elektryczną (administrator) zawarła umowę z dostawcą usług informatycznych (procesorem). Procesor otrzymał od swojego klienta zgłoszenie nieprawidłowego (powolnego) działania systemu. Rozpoczął prace nad wdrożeniem zmian. W tym celu powierzył utworzenie nowego serwera, a następnie przystąpił do zasilania bazy danych rzeczywistymi danymi klientów spółki. Czynności nie zostały poprzedzone przeprowadzeniem testów. W trakcie dokonywanych zmian została utworzona dodatkowa baza danych klientów. W momencie wprowadzania zmian w środowisku informatycznym doszło do naruszenia ochrony danych osobowych. Baza została skopiowana przez nieuprawnione osoby, gdyż serwer, na którym ją wdrożono, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator dowiedział się o incydencie od dwóch internautów, którzy powiadomili go o posiadaniu nieuprawnionego dostępu do bazy.

W toku postępowania ustalono, że procesor działał niezgodnie z powszechnie znanymi normami ISO, które m.in. wyznaczają aktualne standardy bezpieczeństwa. Nie przestrzegał również własnej polityki bezpieczeństwa, która do tych norm się odwoływała. Dopuścił się także naruszenia postanowień umowy powierzenia zawartej z administratorem. Gdyby wdrożył pseudonimizację zgodnie ze zobowiązaniem, osoby nieuprawnione, które weszłyby w posiadanie speudonimizowanych danych, nie byłyby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami. W trakcie dokonywania zmian w środowisku informatycznym administrator nie prowadził żadnego nadzoru nad działaniem procesora. Co więcej, przed zawarciem umowy z procesorem administrator nie przeprowadził jego weryfikacji oraz nie wykonał niezbędnej kontroli. Poprzestał na pozytywnej ocenie dostawcy wynikającej z dotychczasowej współpracy. To zdaniem prezesa UODO zdecydowanie zbyt mało. Organ nadzorczy uznał, że administrator oraz procesor nie wdrożyli odpowiednich zabezpieczeń danych osobowych, co skutkowało naruszeniem ich poufności. Dodatkowo administrator nie przeprowadził weryfikacji procesora pod kątem zapewnienia wdrożenia odpowiednich środków. Kary wyniosły odpowiednio: w przypadku administratora – 4 911 732 zł, a procesora – 250 135 zł (decyzja prezesa UODO z 22 stycznia 2022 r., znak DKN.5130.2215.2020).

• Brak zawarcia umowy powierzenia oraz weryfikacji procesora

Właściwe powierzenie przetwarzania danych wciąż stanowi wyzwanie dla wielu podmiotów, o czym świadczy sprawa, która dotyczyła jednego z ośrodków kultury. Instytucja ta (administrator) zleciła dostawcy usług (procesorowi) m.in. prowadzenie ksiąg rachunkowych. Jednocześnie powierzyła mu przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia. Ponadto nie sprawdziła, czy usługodawca zapewnia wystarczające gwarancje w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Za powyższe naruszenia administrator został ukarany karą pieniężną w wysokości 2500 zł (decyzja prezesa UODO z 16 sierpnia 2022 r., znak DKN.5131.29.2022).

NIEPRAWIDŁOWE POSTĘPOWANIE W PRZYPADKU WYSTĄPIENIA NARUSZEŃ

• Zgubienie przesyłek pocztowych oraz niezgłoszenie incydentu

W jednej ze spraw rozpatrywanych przez prezesa UODO bank powierzył firmie kurierskiej doręczenie przesyłek do swojej centrali. Zawierały one wiele danych osobowych przekazanych przez klientów w związku z procedurą założenia konta bankowego, m.in.: imię, nazwisko, PESEL, adres, numer rachunku bankowego. Korespondencja została zgubiona przez dostawcę. Mimo podejmowanych prób nie udało się jej odnaleźć. Administrator uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie. Z tego powodu nie zgłosił tego naruszenia organowi nadzorczemu. Podmiotom zgubionych danych (swoim klientom) przekazał tylko bardzo ogólne informacje o zdarzeniu. Nie wskazał przy tym, z jakimi konsekwencjami powinni się liczyć ani jakie środki zostały podjęte, żeby zminimalizować ryzyko ich wystąpienia. Osoby te powiadomiły prezesa UODO o incydencie.

Organ nadzorczy nie zgodził się z oceną banku. Zdaniem prezesa UODO ryzyko naruszenia praw lub wolności klientów banku było wysokie. Wskazał on na kilka istotnych wytycznych przydatnych do przeprowadzenia analizy w przypadku wystąpienia podobnych zdarzeń. Po pierwsze, nie jest istotna okoliczność, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób – bank argumentował, że przesyłki zapewne zalegają w sortowni, więc najprawdopodobniej nigdy nie zostały udostępnione osobom nieuprawnionym. Tymczasem skoro administrator nie ma wiedzy na temat tego, gdzie aktualnie znajduje się przesyłka i co się stało z zawartymi w niej danymi osobowymi podmiotów danych, należy przyjąć, że nastąpiło naruszenie skutkujące ryzykiem nieuprawnionego ich ujawnienia. Po drugie, obowiązek zawiadomienia o naruszeniu podmiotów danych aktualizuje się, gdy występuje sama możliwość negatywnych konsekwencji. Nie jest konieczne ich zmaterializowanie. Wystarczy wystąpienie ryzyka w tym zakresie. Sam fakt posiadania przez bank informacji, zgodnie z którymi dane nie posłużyły do wyłudzenia kredytu, nie może stanowić podstawy do odstąpienia od wykonania obowiązków w tym zakresie.

Podstawą nałożenia kary było zatem niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osób, których dane dotyczą. Bank został ukarany karą w wysokości 363 832 zł (decyzja prezesa UODO z 14 października 2021 r., znak DKN.5131.16.2021).

• Udostępnienie danych podczas konferencji prasowej

Niedopełnienia obowiązków w przypadku wystąpienia naruszenia dopuściła się również pewna spółdzielnia mieszkaniowa. Jeden z jej członków z uwagi na swoje niezadowolenie z wysokości opłat eksploatacyjnych wszczął w lokalnych mediach i internecie kampanię przeciw spółdzielni mieszkaniowej. Na skutek tego zachowania spółdzielnia złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa, a następnie zwołała konferencję prasową dla dziennikarzy. Podczas niej udostępniła kserokopię zawiadomienia (obejmującą: imię, nazwisko, PESEL i adres zamieszkania członka spółdzielni), bowiem inspektor ochrony danych osobowych podmiotu uznał, że ryzyko naruszenia jest niskie, ponieważ osoba, której dane dotyczą, sama upubliczniała swoje dane w internecie (w trakcie prowadzonej kampanii), ponadto dokument został ujawniony wyłącznie dziennikarzom. Z tych powodów zaniechano dokonania zgłoszenia do prezesa UODO oraz zawiadomienia mieszkańca. O zdarzeniu organ nadzorczy dowiedział się od dziennikarza.

Prezes UODO uznał, że ryzyko naruszenia wolności i praw mieszkańca w związku z ujawnieniem jego danych osobom nieuprawnionym było wysokie. Ponadto po raz kolejny podkreślił, że PESEL jest unikalnym identyfikatorem osoby. Zawiera bowiem wiele informacji na jej temat. Jego ujawnienie osobie niepowołanej może rodzić wiele konsekwencji. Odnosząc się do argumentacji spółdzielni, podkreślił, że nawet potwierdzenie zasadności podnoszonych przez administratora zarzutów wobec mieszkańca nie oznacza, że jego dane osobowe nie powinny podlegać takiej samej ochronie jak dane każdej innej osoby fizycznej w podobnej sytuacji. Po przeprowadzeniu analizy przepisów prawa prasowego stwierdzono, że dziennikarz nie złożył wniosku o udostępnienie zawiadomienia, więc działanie administratora w zakresie udostępnienia mu danych osobowych członka spółdzielni miało charakter nadmiarowy oraz nastąpiło z naruszeniem przez administratora obowiązku ochrony tych danych.

Kara nałożona na spółdzielnię wyniosła 51 876 zł (decyzja prezesa UODO z 1 marca 2023 r., znak DKN.5131.49.2021).

• Zgubienie świadectwa pracy

O tym, że administratorzy nie uczą się na błędach innych oraz mają duży problem z przeprowadzeniem właściwej analizy ryzyka w przypadku wystąpienia naruszenia, świadczy kolejna decyzja prezesa UODO. Spółka zgubiła świadectwo pracy swojego pracownika. Nie zgłosiła naruszenia organowi nadzorczemu. W jej ocenie nie wiązało się ono z ryzykiem naruszenia praw ani wolności pracownika. Został on zawiadomiony o utracie świadectwa pracy, jednak nie zgłaszał z tego tytułu roszczeń wobec spółki.

Prezes UODO został powiadomiony przez policję. W toku prowadzonych czynności ustalono, że oprócz podstawowych danych, takich jak imię, nazwisko, miejsce zamieszkania czy data urodzenia, w treści świadectwa pracy podaje się informacje szczególnie istotne z punktu widzenia praw lub wolności osoby, której dane dotyczą, np. tryb i podstawę prawną rozwiązania stosunku pracy, informacje o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Takie dane mogą w sposób bezpośredni lub pośredni ujawniać informacje o życiu osobistym tej osoby, o jej problemach natury prawnej oraz statusie majątkowym. Ostatecznie kara nałożona na spółkę wyniosła 15 994 zł (decyzja prezesa UODO z 6 czerwca 2022 r., znak DKN.5110.12.2021).

• Przetwarzanie danych bez podstawy prawnej

Kolejny omówiony przypadek dotyczy stosowania zasady legalności. Komendant powiatowy policji poinformował prezesa UODO o możliwości naruszenia przepisów RODO przez spółkę świadczącą pomoc prawną w dochodzeniu odszkodowań, zadośćuczynień oraz rent na rzecz osób poszkodowanych, głównie w wypadkach komunikacyjnych. W wyniku wszczętej kontroli organ nadzorczy ustalił, że spółka aktywnie poszukiwała potencjalnych klientów. W tym celu pozyskiwała informacje z wiadomości prasowych, publikacji internetowych, komunikatów rozpowszechnianych przez fundacje i inne organizacje prowadzące działalność dobroczynną. Przeszukiwała również prywatne profile osób fizycznych dostępne w mediach społecznościowych. Dodatkowo spółka prowadziła wywiady środowiskowe, poszukując danych o potencjalnych klientach, m.in. podczas rozmów z sąsiadami. Przeprowadzała również analizę nekrologów na cmentarzach. Po uzyskaniu informacji kontaktowała się bezpośrednio z potencjalnym klientem oraz przedstawiała mu swoją ofertę. Dopiero na tym etapie spółka prosiła o udzielenie ustnej zgody na przetwarzanie danych osobowych. Na jakiej zatem podstawie przetwarzała dane przed odbyciem rozmowy z potencjalnym zleceniodawcą?

Spółka wskazywała na niezbędność danych do wykonania umowy. Z takim stanowiskiem zdecydowanie nie zgodził się prezes UODO. Dane zbierano bowiem jeszcze przed zawarciem umowy z klientem. Nie można również mówić o przesłance w postaci podjęcia działań na żądanie klientów przed zawarciem z nimi umów. Skoro przyszły klient w ogóle nie wiedział, że spółka zbiera o nim dane oraz ustala opłacalność ewentualnego prowadzenia jego sprawy, nie możemy mieć do czynienia z żadnym żądaniem z jego strony.

Prezes UODO szczegółowo przeanalizował również inne podstawy przetwarzania danych, m.in. uzasadniony interes administratora danych. Zdaniem organu nadzorczego cele realizowane przez spółkę nie wymagają pozyskiwania od potencjalnych klientów ich danych osobowych, a w szczególności danych dotyczących zdrowia. Wskazany wyżej cel można osiągnąć w inny sposób, np. pozostawiając ulotki informujące o usługach.

W wyniku analizy prezes UODO ustalił, że przetwarzanie danych osobowych potencjalnych klientów przez spółkę może się odbywać wyłącznie wówczas, gdy podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych. Takie zgody nie były jednak pozyskiwane. Spółce nakazano dostosowanie operacji przetwarzania do przepisów RODO przez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej, tj. bez uzyskania zgody na przetwarzanie ich danych osobowych. Ponadto została nałożona kara pieniężna w wysokości 45 697 zł (decyzja prezesa UODO z 30 listopada 2022 r., znak DKN.5112.5.2021).

BRAK WSPÓŁPRACY

Upomnieniem oraz nałożeniem kary pieniężnej może skutkować również brak współpracy z prezesem UODO. Ponadto stopień współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia jego ewentualnych negatywnych konsekwencji stanowi jedną z przesłanek, które należy uwzględnić podczas podejmowania decyzji na temat nałożenia administracyjnej kary pieniężnej oraz ustalenia jej wysokości.

• Przekazanie danych innemu podmiotowi

Do prezesa UODO wpłynęła skarga, w której klient zarzucił pewnemu bankowi przekazanie jego danych osobowych do innego podmiotu bez jego zgody. Organ nadzorczy wszczął postępowanie oraz zwrócił się do banku z wnioskiem o ustosunkowanie się do skargi. Poprosił również o przedstawienie odpowiedzi na zadane pytania. Administrator zaniechał złożenia jakichkolwiek wyjaśnień. Za naruszenie polegające na braku współpracy z organem właściwym ds. ochrony danych osobowych oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji jego zadań została wymierzona kara w wysokości 22 739 zł (decyzja prezesa UODO z 27 kwietnia 2021 r., znak DKE.561.23.2020). ©℗