Prezes UODO: prawie 16 mln zł kary dla administratora i podmiotu przetwarzającego

Organ nadzorczy opublikował uzasadnienie decyzji nakładający rekordową sumę administracyjnych kar pieniężnych. W omawianej decyzji organ nadzorczy nałożył łącznie na dwa podmioty 15 647 515 zł. Tymi podmiotami był pewien administrator oraz współpracujący z nim podmiot przetwarzający.

Sama sprawa rozpoczęła się jak większość tj. z dokonanego przez administratora zgłoszenia naruszenia ochrony danych osobowych w lipcu 2020 r.

W zgłoszeniu naruszenia ochrony danych osobowych wskazano, że 22 lipca 2020 r. na globalny adres e-mail G. została wysłana wiadomość informująca o możliwość dostępu osób trzecich do danych osobowych pracowników Administratora. Tego samego dnia Administrator stwierdził naruszenie ochrony danych osobowych ustalając, że niezabezpieczony plik bazodanowy w formacie msql, który zawierał dane pracowników G. i jego (…), był dostępny w publicznym katalogu. W związku z tym potencjalna osoba nieuprawniona z poziomu przeglądarki mogła pobrać plik i przy użyciu odpowiedniego oprogramowania uzyskać wgląd w grafiki pracowników, służące do zarządzania czasem pracy pracowników i zawierającymi ich dane osobowe, które zostały wprowadzone do systemu teleinformatycznego w ramach domeny https://(…).

Prezes UODO poinformował G. oraz U. (…) Sp. z o.o. z siedzibą w W., zwaną dalej U. (…) lub Podmiotem przetwarzającym, że toczące się postępowanie dotyczy również obowiązków U. (…) jako podmiotu przetwarzającego, któremu G. powierzył przetwarzanie danych osobowych osób, których dotyczy naruszenie ochrony danych osobowych. Tym samym zaszły przesłanki do uznania U. (…) za stronę postępowania, zgodnie z art. 28 Kodeksu postępowania administracyjnego (dalej: kpa).

Prezes UODO poinformował dotychczasowe strony, że uznał za stronę tego postępowania administracyjnego także Pana J. S. prowadzącego działalność gospodarczą pod firmą N. (…) (ul. (…), (…)-(…) W.), bowiem w proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, zgłoszonym przez G. zaangażowany był również Pan J. S., któremu U. (…) powierzyła dalsze przetwarzanie danych osobowych, których administratorem jest G..

Co spowodowało naruszenie ochrony danych osobowych:

W dniu 6 stycznia 2019 r. mijał termin płatności za „serwer (…)”, z którego przeniesiono część danych, serwer wygasł.

Wraz z wyłączeniem serwera „(…)”, w związku z brakiem płatności w terminie do dnia 6 stycznia 2019 r., przestała działać aplikacja grafików pracowniczych. Jak ustalono, było to spowodowane tym, iż aplikacja ta faktycznie nie została przeniesiona w trakcie migracji przeprowadzanej przez Podmiot przetwarzający, czego Podmiot przetwarzający nie był świadomy. Wyłączony serwer zawierał jeszcze kilka projektów, które nie zostały przeniesione w trakcie ww. migracji, w tym projekt aplikacji grafik pracowniczy zawierający pliki grafiku i bazy danych aplikacji, jak również plik „(…)” będący kopią zapasową bazy danych aplikacji grafików pracowniczych, utworzoną na potrzeby migracji, która się nie powiodła.

Na dzień 14 stycznia 2019 r. opłacono korzystanie z serwera „(…)” i przywrócono jego działanie, w tym dniu nastąpiło również przeniesienie aplikacji grafik pracowniczy wraz z plikiem zawierającym kopię bazy danych ww. aplikacji o nazwie „(…)” na nowy serwer „(…)”. Ostatecznie serwer „(…)” został wyłączony w dniu 17 stycznia 2020 r.

W dniu 14 stycznia 2019 r. Podmiot przetwarzający zwrócił się do Pana J. S. o pomoc w przywróceniu działania aplikacji grafik pracowniczy. W odpowiedzi Pan J. S. poinformował, jakie czynności należy wykonać dla poprawnej migracji wszystkich danych znajdujących się na serwerze „(…)”, w tym w szczególności odnoszących się do aplikacji grafik pracowniczy. Zarekomendował również utworzenie kopii zapasowej wszystkich danych znajdujących się na serwerze „(…)”. Jednakże, jak ustalono, w tym czasie żadne prace związane z przeniesieniem danych, w tym analiza zawartości serwera, nie zostały mu zlecone. Następnie tego samego dnia U. (…) zwrócił się do Pana J. S. o podjęcie działań, wysyłając e-mail o treści „J., serwer opłacony. Wielka prośba o szybkie ogarnięcie – obojętnie na jakim serwerze – ważne by działało”. A na zapytanie Pana J. S., czy ma zrobić backup całego serwera, czy tylko grafik U. (…) odpowiedział „J., serwer jest opłacony na cały rok, więc na razie pilna sytuacja z grafikiem pracy by zaczął działać Reszta później”.

Pan J. S. w dniu 14 stycznia 2019 r. podjął się pracy. Pobrał cały folder na swój komputer przez protokół ftp, bez analizowania jego zawartości, gdyż nie zostało to mu zlecone. Plik będący źródłem naruszenia został wcześniej na potrzeby nieudanej migracji zapisany w drzewie projektu (w katalogach mających swoja strukturę). Tym samym został przeniesiony z całym projektem. Następnie przesłał cały folder na nowy serwer (protokołem ftp), wykonał kopię zapasową (backup) bazy danych przez (…) i zapisał na swoim komputerze.

Powyższe działania trwały 2,5 h i za taki czas Pan J. S. otrzymał wynagrodzenie.

 

Sentencja decyzji Prezesa UODO przedstawia się następująco:

I. stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, polegające na:
1) braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również uwzględniającej ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2) braku podjęcia w związku z zawarciem umowy powierzenia przetwarzania danych osobowych, środków wymaganych na mocy art. 32 rozporządzenia 2016/679;
3) braku poddania regularnemu testowaniu mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania powierzonych danych;
nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 94 286 zł (słownie: dziewięćdziesiąt cztery tysiące dwieście osiemdziesiąt sześć złotych);

II. stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 28 ust. 4 i 9 rozporządzenia 2016/679, polegające na wykonywaniu w imieniu G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) czynności przetwarzania przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przy korzystaniu z usług innego podmiotu przetwarzającego, tj. J. S. prowadzącego działalność gospodarczą pod firmą N. (…) (ul. (…), (…)-(…) W.), bez nałożenia na ten podmiot – na mocy umowy lub innego aktu prawnego, zawartej w formie pisemnej, w tym elektronicznej – tych samych obowiązków prawnych, jak w umowie zawartej między G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) a U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), o których to obowiązkach mowa w art. 28 ust. 3 rozporządzenia 2018/679, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia 2016/679, nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 28 ust. 4 oraz art. 28 ust. 9 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 42 429 zł (słownie: czterdzieści dwa tysiące czterysta dwadzieścia dziewięć złotych);

III. stwierdzając naruszenie przez U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 38 ust. 1 rozporządzenia 2016/679, polegające na braku zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
nakłada na U. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 38 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 47 143 zł (słownie: czterdzieści siedem tysięcy sto czterdzieści trzy złote);

IV. stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 28 ust. 1 rozporządzenia 2016/679, polegające na nieprawidłowym przeprowadzeniu weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania danych osobowych i oparcie decyzji, co do wyboru podmiotu przetwarzającego o okoliczności, które nie pozwalały prawidłowo ocenić, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, a w konsekwencji skorzystaniu z usług podmiotu przetwarzającego, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 28 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 632 063 zł (słownie: jeden milion sześćset trzydzieści dwa tysiące sześćdziesiąt trzy złote);

V. stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:

1) braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również uwzględniającej ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2) braku poddania regularnemu testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych;
3) braku poddania ocenie w czasie samego przetwarzania zakresu danych osobowych przetwarzanych w module grafików w celu ustalenia ryzyka dla praw lub wolności osób fizycznych, jakie wiąże się z tym przetwarzaniem, a w konsekwencji braku określenia i wdrożenia środków technicznych i organizacyjnych, takich jak pseudonimizacja, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą, co skutkowało naruszeniem zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/279, naruszeniem zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/6/79,
nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie art. 5 ust. 1 lit. f), 5 ust. 1 lit. c), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 13 600 528 zł (słownie: trzynaście milionów sześćset tysięcy pięćset dwadzieścia osiem złotych);

VI. stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisu art. 38 ust. 1 rozporządzenia 2016/679, polegające na braku zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, nakłada na G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie 38 ust. 1 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 700 066 zł (słownie: jeden milion siedemset tysięcy sześćdziesiąt sześć złotych);

VII. stwierdzając naruszenie przez G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 34 ust. 1 i ust. 3 lit. c) rozporządzenia 2016/679, poprzez brak indywidualnego zawiadomienia o naruszeniu ochrony danych osobowych byłych pracowników G. (…) Sp. z o.o. i wydanie publicznego komunikatu o naruszeniu ochrony danych osobowych, mimo, iż przesłanka niewspółmiernie dużego wysiłku, o której mową w art. 34 ust. 3 lit. c) rozporządzenia 2016/679, nie wystąpiła, udziela G. (…) Sp. z o.o. z siedzibą w W. przy ul. (…), upomnienia;

VIII. w pozostałym zakresie postępowanie umarza.

Powyższe naruszenia można zobrazować w tabeli:

Administrator Podmiot przetwarzający
l.p. naruszone przepisy treść przepisu wysokość kary naruszone przepisy treść przepisu wysokość kary
1 art. 28 ust. 1 RODO korzystanie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. 1 632 063 zł art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) RODO odpowiednie środki techniczne i organizacyjne

podejmuje wszelkie środki wymagane na mocy art. 32

 94 286 zł
2 art. 5 ust. 1 lit. f), art. 5 ust. 1 lit. c), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO integralność i poufność
minimalizacja danych
rozliczalność
uwzględnianie ochrony danych w fazie projektowania
odpowiednie środki techniczne i organizacyjne		 13 600 528 zł art. 28 ust. 4 oraz art. 28 ust. 9 RODO obowiązek zawarcia umowy z subprocesorem przez przedmiot przetwarzajacy

umowa z podmiotem przetwarzajacym oraz z subprocesorem ma formę pisemną, w tym formę elektroniczną.

 42 429 zł
3 art. 38 ust. 1 RODO brak odpowiedniego włączenia IOD 1 700 066 zł art. 38 ust. 1 RODO brak odpowiedniego włączenia IOD 47 143 zł
4 art. 34 ust. 1 i 3 lit. c) RODO brak indywidualnego zawiadomienia osób upomnienie

 

W zakresie samego naruszenia Prezes UODO wskazał, że:

w toku prowadzonego postępowania zarówno Administrator, jak i Podmiot przetwarzający, nie byli pomocni w zakresie ustalenia konkretnej przyczyny wystąpienia naruszenia ochrony danych osobowych. Administrator wskazywał, że nie może uzyskać takich wyjaśnień od Podmiotu przetwarzającego (np. pismo z 16 lutego 2022 r., karta 596 „Spółka nie była w stanie ustalić powodów, dla których doszło do błędu ludzkiego i nie uzyskała takich informacji od podmiotu przetwarzającego dane, tj. U. (…)”). Natomiast Podmiot przetwarzający uchylał się od udzielenia konkretnych odpowiedzi, wskazując m.in., że „nie udało jej się ustalić co było powodem błędu ludzkiego” – a „błąd polegał na umieszczeniu bazy w niewłaściwym miejscu” (dowód: pismo Podmiotu przetwarzającego z 15 lutego 2022 r., karta 579);

brak zawarcia umowy podpowierzenia z Panem J. S., wcześniejsze przeprowadzenie nieudanej migracji danych oraz utworzenie i nieusunięcie z serwera „(…)” pliku będącego źródłem naruszenia ochrony danych osobowych. Podkreślić w tym miejscu należy, że przyczyny wystąpienia naruszenia ochrony danych osobowych miały swoje pierwotne źródło właśnie we wcześniejszej nieudanej migracji danych z serwera „(…)”, której nie przeprowadzał Pan J. S..

Nadto organ wskazał w zakresie braku umowy podpowierzenia, że:

Wracając do konsekwencji braku zawarcia umowy podpowierzenia, to U. (…) nie mógł należycie oczekiwać od Pana J. S., że będzie zapewniał gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, bowiem okoliczność ta, jako obowiązek U. (…), powinna zostać zweryfikowana przed zawarciem umowy i być weryfikowana w trakcie jej trwania. W tym kontekście wskazać należy, że brak zawarcia umowy podpowierzenia przetwarzania danych osobowych uniemożliwia prawidłowe wiążące określenie istotnych elementów umowy, takich jak przedmiot, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorię osób, których dane dotyczą, obowiązki i prawa administratora. W istocie brak sprecyzowania tych elementów istotnie utrudnia, a nawet może uniemożliwiać podmiotowi, który ma przetwarzać dane osobowe w imieniu administratora, prawidłowe wywiązanie się ze swoich obowiązków przewidzianych w art. 32 rozporządzenia 2016/679. Prawidłowe wiążące określenie istotnych elementów z umowy powierzenia powinno być poddane ocenie dla ustalenia odpowiednich do ryzyka środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych. Powyższy przepis wskazuje, że uwzględniając m.in. takie elementy jak charakter, zakres, cele przetwarzania, a wiec elementy wprost tożsame z wymogami przewidzianymi dla umowy powierzenia z art. 28 ust. 3 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień odpowiadający ryzyku.

 

 

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności