Prezes UODO nakładając 117 900 zł kary: brak kopii zapasowej danych powoduje naruszenie RODO

Z tej decyzji Prezesa UODO wynika, że niektórzy administratorzy danych nadal utożsamiają naruszenie ochrony danych osobowych wyłącznie ze skutkami, do jakich doprowadza konkretne zdarzenie.

W tym przypadku administrator danych wniósł o umorzenie postępowania związanego ze zgłoszeniem naruszenia ochrony danych osobowych, gdyż pożar, który strawił serwer firmy, zrobił to na tyle skutecznie, że nie istnieje możliwość zapoznania się z danymi przechowywanymi na tym serwerze.

Nie da się odebrać logiki takiemu rozumowaniu. Jednak naruszenie ochrony danych osobowych polega, na czym inny.

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamów dostęp do funkcjonalności Judykatura.pl bez podawania danych karty.

Prezes UODO zwrócił się do administratora danych z żądaniem wyjaśnienia, czy:

Spółka dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, a jeżeli tak, to czy odzyskano utracone dane i w jakim zakresie;

przed wystąpieniem naruszenia Spółka posiadała opracowaną i wdrożoną procedurę tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, to proszę przedłożyć kopię tej procedury ze wskazaniem częstotliwości tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzającej zgłaszane naruszenie;

Spółka dokonała analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.

Administrator wskazał, że:

nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, przed wystąpieniem naruszenia ochrony danych osobowych nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamów dostęp do funkcjonalności Judykatura.pl bez podawania danych karty.

Organ nadzorczy ustalił, że:

10 marca 2021 r. w siedzibie O. w S. doszło do pożaru serwerów, w skutek czego Spółka utraciła dostęp do systemu informatycznego o nazwie XXX, służącego do zarządzania kontaktami z klientami i wykorzystywanego do przetwarzania danych osobowych (brak możliwości korzystania z systemu oraz brak dostępu do danych osobowych) oraz utraciła dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników podmiotów, które współpracowały ze Spółką, zapisane w tym systemie.

Serwery uległy całkowitemu zniszczeniu, bez możliwości przywrócenia utraconych danych. Przybliżona liczba osób, których mogło dotyczyć naruszenie, została oszacowana przez Spółkę na około 14 000 osób; kategoria osób wskazana przez Spółkę to użytkownicy systemu XXX oraz pacjenci, jak również kategoria wskazana jako „nowi użytkownicy oraz dotychczasowi, z przedziału od 01.03.2020 do 10.03.2021 – osoby rejestrujące się w systemie XXX”, a zakres danych osobowych, który uległ naruszeniu, to: nazwiska, imiona, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail oraz numery telefonów. Spółka charakter naruszenia ochrony danych osobowych odniosła do naruszenia dostępności danych, gdzie została przedstawiona informacja o następującej treści „brak możliwości wykorzystania danych na żądanie, w założonym czasie przez osobę do tego uprawnioną”. Natomiast jako możliwe konsekwencje naruszenia ochrony danych osobowych dla osób, których dane dotyczą, wskazała utratę kontroli nad własnymi danymi osobowymi. Ponadto, 22 marca 2021 r. zawiadomiła indywidulanie (w formie elektronicznej) oraz w formie komunikatu dostępnego na stronie internetowej o naruszeniu ochrony danych osobowych osoby, których naruszenie dotyczy, w liczbie około 14 000 osób.

Spółka na serwerach, które uległy spaleniu, gromadziła i przetwarzała dane osobowe osób, których dane dotyczą, w celu zawarcia i realizacji umowy pomiędzy S7Health a osobą, której dane dotyczą oraz operatorem medycznym P, polegającej na świadczeniu usług medycznych tym osobom.

Jednocześnie, co należy ponownie podnieść, oba te dokumenty przewidywały obowiązek i zadania w postaci wykonywania kopii zapasowych, które to jednak do czasu wystąpienia naruszenia ochrony danych osobowych nie były tworzone przez Spółkę.

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamów dostęp do funkcjonalności Judykatura.pl bez podawania danych karty.

Prezes UODO tak uzasadnił wysokość nałożonej kary:

przedstawiła sprawozdanie finansowe za 2022 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły 8 458 585,48 zł (słownie: osiem milionów czterysta pięćdziesiąt osiem tysięcy pięćset osiemdziesiąt pięć zł 48/100) co stanowi równowartość 1 793 593,18 euro wg średniego kursu euro z 30 stycznia 2023 r. Natomiast zysk netto stanowiła kwota 1 053 248, 35 zł (słownie: milion złotych pięćdziesiąt trzy tysiące dwieście czterdzieści osiem zł 35/100), przy przeciętnym w roku obrotowym zatrudnieniu 4 osób. Zważywszy na wyżej przedstawione wyniki finansowe S7Health stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa. Wskazać należy, że ustalona przez Prezesa UODO kwota kary – 117 900zł – stanowi jedynie 1,39 % jej obrotu osiągniętego w 2022 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Spółki za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności