Prezes UODO: kara prawie 50 tys zł za niewdrożenie odpowiednich środków oraz niezgłoszenie naruszenia

Prezes Urzędu Ochrony Danych Osobowych opublikował kolejną decyzję administracyjną dotyczącą niewdrożenia, przez administratora danych, odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych “w systemach informatycznych oraz ochronę praw osób, których dane dotyczą”.

Konsekwencją takiego podejścia administratora jest to, że organ nadzorczy stwierdził także niewdrożenie “odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, które to naruszenia skutkują naruszeniem zasady integralności (art. 5 ust. 1 lit. f rozporządzenia 2016/679) i rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679)”.

Stan faktyczny dopełniało niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych w odpowiednim terminie oraz niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych powodującym wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Tak długa lista zaniedbań administratora danych nie mogła pozostać bez reakcji organu nadzorczego, który nałożył na administratora administracyjna karę pieniężną w wysokości prawie 50 000 zł.

Przez równo trzy lata organ nadzorczy badał sprawę, o której dowiedział się od osoby trzeciej. To taka osoba czy podmiot przekazał, w lipcu 2020 r., informacje do Prezesa UODO, że u administratora danych doszło do:

utraty dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (zwaną dalej również „Spółką” lub „Administratorem”), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony (zatrudnionych na podstawie umowy o pracę lub osób wykonujących zadania na podstawie umów cywilnoprawnych), a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony zawartych przez Spółkę.

Organ nadzorczy mając takie informacje skontaktował się z administratorem danych, w celu uzyskania informacji potwierdzających czy tez zaprzeczających informacjom przekazanym przez inny podmiot.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
34.99
 PLN z VAT
 • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
 • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
 • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
 • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Administrator, bardzo opornie, bo z dużym opóźnieniem, przekazał niewiele informacji organowi nadzorczemu. Administrator wskazał, że:

doszło do zaszyfrowania danych osobowych (tj. utraty dostępności danych przetwarzanych w formie elektronicznej) w dniu (…) maja 2020 r. około trzydziestu osób: pracowników Spółki oraz osób świadczących na jej rzecz usługi na podstawie zawartych z nią umów cywilnoprawnych;

w wyniku ataku ransomware przeprowadzonego w celu osiągnięcia korzyści majątkowej doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane te dotyczyły wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych.

w wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych ww. osób należących do następujących kategorii: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.

Spółka zweryfikowała problem, ustaliła brak możliwości rozszyfrowania (dostęp do utraconych danych nie został odzyskany) i przyjęła, iż najkorzystniejsze będzie wstrzymanie się od ingerowania w system; Spółka korzystała więc ze sporządzonej w formie papierowej kopii danych.

Administrator na podstawie badania przepływu danych wychodzących ustalił, iż nie doszło do transferu danych poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Wskazał również, że „(…) jest zainstalowany na styku z dostępem do Internetu i w 100% blokuje ruch wychodzący z wewnątrz sieci korporacyjnej. W procesie analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych nie zaobserwowano żadnych śladów eksfiltracji danych”. Z przeprowadzonego przez pracowników Spółki audytu systemu informatycznego, który (jak oświadczyła Spółka) wykazał, że nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.

Prezes Urzędu Ochrony Danych Osobowych wskazał, że:

w zaistniałej sytuacji nie powinno się też zapominać, że utrata przez administratora dostępu do danych oznacza również utratę dostępu do danych osoby, której dane zaszyfrowano, a to narusza jej „prawo dostępu”, o którym mowa w art. 15 rozporządzenia 2016/679;

biorąc pod uwagę całokształt poczynionych w sprawie ustaleń, a także niemożność weryfikacji w oparciu o wskazane przez Spółkę środki techniczne, czy do danych, których dotyczyło naruszenie, nie uzyskała dostępu osoba nieuprawniona, uznać należy, że w tym przypadku występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
179
 PLN z VAT
 • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
 • Eksperckich tez wybranych orzeczeń
 • Decyzji Polskiego Organu Nadzorczego
 • Decyzji Europejskich Organów Nadzorczych
 • Wytycznych i Opinii EDPB oraz EDPS
 • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1933
 PLN z VAT
2148
 • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
 • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
1020
 PLN z VAT
1074
 • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
 • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

W przedmiotowej decyzji organ nadzorcy wskazał istotne wskazówki dla innych administratorów:

spółka podjęła świadomą decyzję, m.in. by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. Nie ulega wątpliwości, że Spółka, przetwarzając dane osobowe osób wykonujących na jej rzecz pracę lub zlecenia, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych;

będąc tego świadomym, Administrator podjął jednak decyzję m.in. o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Spółkę o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych.

w końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie m. in. obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska. 

W zakresie wysokości administracyjnej kary pieniężnej Prezes UODO wskazał, że:

spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych;

w zgromadzonym materiale dowodowym brak danych dotyczących całkowitego rocznego światowego obrotu Spółki z poprzedniego roku obrotowego. Spółka przekazała jednak informacje dotyczące przychodów netto Spółki ze sprzedaży i zrównanych z nimi w okresie od (…) kwietnia 2019 r. do (…) marca 2020 r. (które wynosiły 6.948.467,84 PLN) oraz w poprzedzającym ten rok obrotowy okresie (8.827.593,26 PLN).

Dane te wskazują na stosunkowo duże obroty w badanym okresie oraz na fakt ich obniżenia – mogły one m.in. posłużyć do szacunkowego ustalenia podstaw wymiaru administracyjnej kary pieniężnej zgodnie z treścią art. 101a ust. 2 rozporządzenia 2016/679.

Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do zaistniałych naruszeń – warto podkreślić, że kwota nałożonej kary 47.160,- PLN to jedynie:
– 0,1 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenia – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro)
– 0,05 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro).