Konsekwencją takiego podejścia administratora jest to, że organ nadzorczy stwierdził także niewdrożenie “odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, które to naruszenia skutkują naruszeniem zasady integralności (art. 5 ust. 1 lit. f rozporządzenia 2016/679) i rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679)”.
Stan faktyczny dopełniało niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych w odpowiednim terminie oraz niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych powodującym wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Tak długa lista zaniedbań administratora danych nie mogła pozostać bez reakcji organu nadzorczego, który nałożył na administratora administracyjna karę pieniężną w wysokości prawie 50 000 zł.
utraty dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (zwaną dalej również „Spółką” lub „Administratorem”), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony (zatrudnionych na podstawie umowy o pracę lub osób wykonujących zadania na podstawie umów cywilnoprawnych), a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony zawartych przez Spółkę.
Organ nadzorczy mając takie informacje skontaktował się z administratorem danych, w celu uzyskania informacji potwierdzających czy tez zaprzeczających informacjom przekazanym przez inny podmiot.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
doszło do zaszyfrowania danych osobowych (tj. utraty dostępności danych przetwarzanych w formie elektronicznej) w dniu (…) maja 2020 r. około trzydziestu osób: pracowników Spółki oraz osób świadczących na jej rzecz usługi na podstawie zawartych z nią umów cywilnoprawnych;
w wyniku ataku ransomware przeprowadzonego w celu osiągnięcia korzyści majątkowej doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane te dotyczyły wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych.
w wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych ww. osób należących do następujących kategorii: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.
Spółka zweryfikowała problem, ustaliła brak możliwości rozszyfrowania (dostęp do utraconych danych nie został odzyskany) i przyjęła, iż najkorzystniejsze będzie wstrzymanie się od ingerowania w system; Spółka korzystała więc ze sporządzonej w formie papierowej kopii danych.
Administrator na podstawie badania przepływu danych wychodzących ustalił, iż nie doszło do transferu danych poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Wskazał również, że „(…) jest zainstalowany na styku z dostępem do Internetu i w 100% blokuje ruch wychodzący z wewnątrz sieci korporacyjnej. W procesie analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych nie zaobserwowano żadnych śladów eksfiltracji danych”. Z przeprowadzonego przez pracowników Spółki audytu systemu informatycznego, który (jak oświadczyła Spółka) wykazał, że nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.
w zaistniałej sytuacji nie powinno się też zapominać, że utrata przez administratora dostępu do danych oznacza również utratę dostępu do danych osoby, której dane zaszyfrowano, a to narusza jej „prawo dostępu”, o którym mowa w art. 15 rozporządzenia 2016/679;
biorąc pod uwagę całokształt poczynionych w sprawie ustaleń, a także niemożność weryfikacji w oparciu o wskazane przez Spółkę środki techniczne, czy do danych, których dotyczyło naruszenie, nie uzyskała dostępu osoba nieuprawniona, uznać należy, że w tym przypadku występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
spółka podjęła świadomą decyzję, m.in. by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. Nie ulega wątpliwości, że Spółka, przetwarzając dane osobowe osób wykonujących na jej rzecz pracę lub zlecenia, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych;
będąc tego świadomym, Administrator podjął jednak decyzję m.in. o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Spółkę o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych.
w końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie m. in. obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych;
w zgromadzonym materiale dowodowym brak danych dotyczących całkowitego rocznego światowego obrotu Spółki z poprzedniego roku obrotowego. Spółka przekazała jednak informacje dotyczące przychodów netto Spółki ze sprzedaży i zrównanych z nimi w okresie od (…) kwietnia 2019 r. do (…) marca 2020 r. (które wynosiły 6.948.467,84 PLN) oraz w poprzedzającym ten rok obrotowy okresie (8.827.593,26 PLN).
Dane te wskazują na stosunkowo duże obroty w badanym okresie oraz na fakt ich obniżenia – mogły one m.in. posłużyć do szacunkowego ustalenia podstaw wymiaru administracyjnej kary pieniężnej zgodnie z treścią art. 101a ust. 2 rozporządzenia 2016/679.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do zaistniałych naruszeń – warto podkreślić, że kwota nałożonej kary 47.160,- PLN to jedynie: – 0,1 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenia – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro) – 0,05 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro).
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
