Prezes UODO nakładając 117 900 zł kary: brak kopii zapasowej danych powoduje naruszenie RODO
W tym przypadku administrator danych wniósł o umorzenie postępowania związanego ze zgłoszeniem naruszenia ochrony danych osobowych, gdyż pożar, który strawił serwer firmy, zrobił to na tyle skutecznie, że nie istnieje możliwość zapoznania się z danymi przechowywanymi na tym serwerze.
Nie da się odebrać logiki takiemu rozumowaniu. Jednak naruszenie ochrony danych osobowych polega, na czym inny.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Prezes UODO zwrócił się do administratora danych z żądaniem wyjaśnienia, czy:
Spółka dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, a jeżeli tak, to czy odzyskano utracone dane i w jakim zakresie;
przed wystąpieniem naruszenia Spółka posiadała opracowaną i wdrożoną procedurę tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, to proszę przedłożyć kopię tej procedury ze wskazaniem częstotliwości tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzającej zgłaszane naruszenie;
Spółka dokonała analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.
nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, przed wystąpieniem naruszenia ochrony danych osobowych nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.10 marca 2021 r. w siedzibie O. w S. doszło do pożaru serwerów, w skutek czego Spółka utraciła dostęp do systemu informatycznego o nazwie XXX, służącego do zarządzania kontaktami z klientami i wykorzystywanego do przetwarzania danych osobowych (brak możliwości korzystania z systemu oraz brak dostępu do danych osobowych) oraz utraciła dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników podmiotów, które współpracowały ze Spółką, zapisane w tym systemie.
Serwery uległy całkowitemu zniszczeniu, bez możliwości przywrócenia utraconych danych. Przybliżona liczba osób, których mogło dotyczyć naruszenie, została oszacowana przez Spółkę na około 14 000 osób; kategoria osób wskazana przez Spółkę to użytkownicy systemu XXX oraz pacjenci, jak również kategoria wskazana jako „nowi użytkownicy oraz dotychczasowi, z przedziału od 01.03.2020 do 10.03.2021 – osoby rejestrujące się w systemie XXX”, a zakres danych osobowych, który uległ naruszeniu, to: nazwiska, imiona, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail oraz numery telefonów. Spółka charakter naruszenia ochrony danych osobowych odniosła do naruszenia dostępności danych, gdzie została przedstawiona informacja o następującej treści „brak możliwości wykorzystania danych na żądanie, w założonym czasie przez osobę do tego uprawnioną”. Natomiast jako możliwe konsekwencje naruszenia ochrony danych osobowych dla osób, których dane dotyczą, wskazała utratę kontroli nad własnymi danymi osobowymi. Ponadto, 22 marca 2021 r. zawiadomiła indywidulanie (w formie elektronicznej) oraz w formie komunikatu dostępnego na stronie internetowej o naruszeniu ochrony danych osobowych osoby, których naruszenie dotyczy, w liczbie około 14 000 osób.
Spółka na serwerach, które uległy spaleniu, gromadziła i przetwarzała dane osobowe osób, których dane dotyczą, w celu zawarcia i realizacji umowy pomiędzy S7Health a osobą, której dane dotyczą oraz operatorem medycznym P, polegającej na świadczeniu usług medycznych tym osobom.
Jednocześnie, co należy ponownie podnieść, oba te dokumenty przewidywały obowiązek i zadania w postaci wykonywania kopii zapasowych, które to jednak do czasu wystąpienia naruszenia ochrony danych osobowych nie były tworzone przez Spółkę.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Prezes UODO tak uzasadnił wysokość nałożonej kary:
przedstawiła sprawozdanie finansowe za 2022 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły 8 458 585,48 zł (słownie: osiem milionów czterysta pięćdziesiąt osiem tysięcy pięćset osiemdziesiąt pięć zł 48/100) co stanowi równowartość 1 793 593,18 euro wg średniego kursu euro z 30 stycznia 2023 r. Natomiast zysk netto stanowiła kwota 1 053 248, 35 zł (słownie: milion złotych pięćdziesiąt trzy tysiące dwieście czterdzieści osiem zł 35/100), przy przeciętnym w roku obrotowym zatrudnieniu 4 osób. Zważywszy na wyżej przedstawione wyniki finansowe S7Health stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa. Wskazać należy, że ustalona przez Prezesa UODO kwota kary – 117 900zł – stanowi jedynie 1,39 % jej obrotu osiągniętego w 2022 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Spółki za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość.