Ciągłe naruszenia mają swoją cenę

18.05.2021

W opublikowanej dziś decyzji Prezesa UODO z 22.04.2021 r. widzimy, że zarządzanie seriami naruszeń ochrony danych osobowych ma swoją cenę.

W tym przypadku wynosi ona 1 136 975 zł (250 000 euro).

 

 

Głównymi motywami decyzji Prezesa UODO jest:

  • brak terminowości raportowania naruszeń ochrony danych u podmiotu przetwarzającego
  • przekazywanie zawiadomień o wysokim ryzyku naruszenia w średnim terminie 60 dni od daty zdarzenia
  • brak sprawowania odpowiedniego nadzoru w obszarze przetwarzania danych za pośrednictwem podmiotu świadczącego usługi kurierskie
  • identyfikowanie naruszenia ochrony danych osobowych po 120 dniach od ich wystąpienia
  • zgodnie z Wytycznymi, w zależności od konkretnej sytuacji administrator może uznać przypadkowego odbiorcę, osobę trzecią za „zaufanego”, zaś fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca
  • wskazać należy, że uznanie osoby, która faktycznie odebrała dokumentację zawierającą dane osobowe klienta Spółki, za zaufanego odbiorcę wymagałoby jednak, aby w każdym przypadku Spółka zbadała relacje łączące takiego odbiorcę z klientem, np. czy nie są w konflikcie oraz czy rzeczywiście dysponowała już ona wszystkimi danymi osobowymi klienta. Należy też podkreślić, że podnoszone przez Spółkę konsekwencje w zakresie prawa cywilnego przekładają się też na naruszenie praw lub wolności osób fizycznych, o którym mowa w rozporządzeniu 2016/679
  • ta kwestia, jak wynika z dokumentacji przedłożonej przez Spółkę, nie została jednak również wzięta pod uwagę przez Spółkę przy dokonywaniu oceny ryzyka związanego z naruszeniem ochrony danych osobowych
  • objęte niniejszym postępowaniem zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat).
  • tak szeroki zakres danych osobowych ujawnianych osobom nieupoważnionym i pozostających w posiadaniu tych osób przez dłuższy czas – w konsekwencji naruszenia stwierdzonego niniejszą decyzją – bez wiedzy i bez możliwości jakiejkolwiek reakcji podmiotu tych danych, musi wpływać obciążająco na ocenę stwierdzonego naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Jak widać zagadnienie naruszeń ochrony danych osobowych oraz zarządzanie naruszeniami u podmiotowo przetwarzających jeszcze długo będzie spędzać sen z powiek niektórych administratorów.