Browsing Tag

prezes uodo

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.

2 komentarze
ochrona danych osobowych

Pierwsza kara za naruszenie RODO w Polsce

24 kwietnia 2019
RODO

Decyzją z dnia 15 marca 2019 r. (dalej – Decyzja) Prezes Urzędu Ochrony Danych Osobowych (dalej – Prezes UODO) nałożył na Spółkę naruszającą zasady wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE 119 z 04.05.2016 r. ze zm., dalej – RODO) pierwszą karę administracyjną w wysokości blisko miliona złotych.

Podstawa prawna naruszenia

RODO, w art. 14 ust. 1-3, nakłada na administratora danych osobowych obowiązek przekazywania osobie, której dane dotyczą, wyszczególnionych w przepisie informacji (takich jak m.in. informacje o podmiocie przetwarzającym dane, celu ich przetwarzania i okresie ich przechowywania), określając jednocześnie termin w jakim czynności informacyjne powinny zostać zrealizowane. To właśnie za naruszenie obowiązku informacyjnego Prezes UODO nałożył karę administracyjną w wysokości 943 470 złotych.

Stan faktyczny

Ukarana przez Prezesa UODO Spółka oferuje  w ramach swojej działalności m.in. sporządzanie raportów handlowych na rzecz podmiotów trzecich, wydawanie wykazów oraz list (np. adresowych, telefonicznych), zarządzanie stronami internetowymi. Spółka przetwarzała dane osobowe w celach zarobkowych, w sposób profesjonalny.  Dane te dotyczyły osób fizycznych prowadzących działalność gospodarczą (zarówno obecnie, jak i w przeszłości) i były pozyskiwane ze źródeł ogólnodostępnych – w tym z rejestrów publicznych (m.in. Centralna Ewidencja i Informacja o Działalności Gospodarczej, Monitor Sądowy i Gospodarczy, Baza REGON Głównego Urzędu Statystycznego).

Jednak nie wszystkie osoby, których dane Spółka przetwarzała, zostały o tym fakcie poinformowane. W sytuacji, w której dana osoba podawała w CEIDG swój adres e-mail, dostawała ona stosowną informację od Spółki odnośnie faktu przetwarzania swoich danych. W stosunku do pozostałych osób, Spółka zrezygnowała z przesyłania informacji o przetwarzaniu danych osobowych i poprzestała na zamieszczeniu stosownego komunikatu na swojej stronie internetowej.  Spółka zrezygnowała z osobistego kontaktu, celem spełnienia obowiązku informacyjnego, powołując się na art. 14 ust. 5 lit b) RODO.

Zgodnie z dyspozycją ww. przepisu, administrator nie musi realizować obowiązku informacyjnego, w sytuacji gdy wymagałoby to z jego strony niewspółmiernie dużego wysiłku. Zdaniem Spółki wysłanie tradycyjnej korespondencji listowej do wszystkich osób, których adresów e-mail Spółka nie posiadała (czyli ponad sześć i pół miliona osób), wiązałoby się ze znacznymi kosztami finansowymi, które mogłyby doprowadzić nawet do utraty płynności finansowej przez Spółkę.

Decyzja Prezesa UODO

Zdaniem Prezesa UODO, w tym przypadku, samo umieszczenie informacji związanych z obowiązkiem informacyjnym na stronie internetowej spółki, nie może być uznane za wystarczające spełnienie obowiązku informacyjnego.

Prezes UODO stwierdził także, że w tej sprawie nie wystąpiła przesłanka wyłączająca obowiązek informacyjny w postaci „niewspółmiernie dużego wysiłku”. Uznano, że spółka posiadała już w bazie dane adresowe, więc nie musiała podejmować wysiłku celem ich odnalezienia. Zgodnie z uzasadnieniem Decyzji, konieczność poniesienia kosztów związanych z wypełnieniem obowiązku informacyjnego nie stanowi „niewspółmiernie dużego wysiłku”.

Prezes UODO odczytał wyjaśniania ukaranej spółki o wysokich kosztach korespondencji listowej, jako chęć uniknięcia dodatkowych kosztów związanych z obowiązkiem informacyjnym. Jego zdaniem, takie podejście nie współgra z koniecznością zapewnienia gwarancji odpowiedniego poziomu zabezpieczenia praw i wolności podmiotów, których dane są przetwarzane. Motywacja spółki została potraktowana jako okoliczność dodatkowo obciążająca w tym postępowaniu. Jak wskazano w uzasadnieniu Decyzji „Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa”.

Prezes UODO uznał ponadto, że naruszenie miało charakter umyślny. Z kolei blisko milionowa kara została uzasadniona tym, że „wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności”. Poza administracyjną kara pieniężną, spółka została zobowiązana do wykonania ciążącego na niej obowiązku informacyjnego w terminie trzech miesięcy od dnia doręczenia jej Decyzji.

Podsumowanie

Komentowana Decyzja jest ostateczna, jednak Spółce przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w terminie 30 dni od dnia jej doręczenia. Wniesienie skargi jest wysoce prawdopodobne. Spółka, w oświadczeniu zamieszczonym na swojej stronie internetowej, stwierdziła, że nie zgadza się z Decyzją. W ewentualnym postępowaniu odwoławczym powinno zostać wyjaśnione pojęcie „nadmiernie wysokiego wysiłku”, gdyż nałożona kara wynika właśnie z odmiennego zrozumienia tego pojęcia przez organ i administratora danych. Wydaje się, że dobrym rozwiązaniem byłoby zwrócenie się w kwestii interpretacji tego pojęcia do Trybunału Sprawiedliwości Unii Europejskiej.

0 Komentarzy
ochrona danych osobowych

Certyfikacja i jej korzyści na gruncie rozporządzenia RODO

2 listopada 2017
Certyfikacja

Certyfikacja a okres przejściowy RODO

Wielkimi krokami zbliża się koniec okresu przejściowego na dostosowanie się do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO, rozporządzenie), które będzie mieć zastosowanie od 25 maja 2018 r. Obok licznych zmian RODO wprowadza m.in. mechanizm certyfikacji.

Czym jest certyfikacja na gruncie RODO?

Certyfikacja stanowi zupełną nowość na gruncie prawa ochrony danych osobowych. Ani dyrektywa 95/46/WE, ani obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała instytucji certyfikacji. RODO to zmienia. Zgodnie z art. 42 ust. 1 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń,  mających świadczyć o zgodności przetwarzania danych z RODO. W swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych.

Certyfikacja a odpowiednie zabezpieczenie danych

Certyfikacja przypomina w pewnym zakresie System Zarządzania Bezpieczeństwa Informacji (Information Security Management System) zgodnym z wymaganiami normy ISO/IEC 27001[1]. System bezpieczeństwa podobnie jak mechanizm certyfikacji polega na wdrożeniu odpowiednich systemów zabezpieczeń, w szczególności ustanowienia polityki bezpieczeństwa oraz dostosowaniu systemów informatycznych do potencjalnych zagrożeń związanych m.in.: z ryzykiem utraty danych, naruszeniem poufności danych, a także brakiem integralności danych tj. dokładności i kompletności przetwarzanych danych.

Innymi słowy mechanizm certyfikacji polega na stworzeniu domniemania zgodności przetwarzania danych osobowych zgodnie z przepisami rozporządzenia. Niemniej jednak będzie to domniemanie wzruszalne, ponieważ certyfikat nie zwalnia od odpowiedzialności za naruszenie zasad przetwarzania danych określonych w RODO.  Warto podkreślić, że certyfikacja jest całkowicie fakultatywna. To bowiem od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi on o certyfikat.

Do kogo po certyfikat?

W ramach wstępnych założeń, tylko Prezes UODO będzie mógł udzielić certyfikacji mimo, że RODO dopuszcza udzielenie certyfikatu również przez inne podmioty certyfikujące tj. podmioty prywatne, posiadające stosowną akredytację krajowego organu nadzorczego. Takie rozwiązanie ma swoje plusy i minusy. Niewątpliwą korzyścią „urzędowej” certyfikacji „będzie zapewnienie jednolitości certyfikacji i wyeliminowanie niepewności związanej z oddaniem certyfikacji z prywatne ręce” (P. Litwiński, Certyfikacja w nowych przepisach o ochronie danych osobowych, Firma i Prawo). Z drugiej strony, postępowania administracyjne, toczące się przed Prezesem GIODO, notorycznie się przedłużają. Stoi to z kolei w sprzeczności z interesem administratora, który zainteresowany jest uzyskaniem certyfikatu w możliwie najkrótszym czasie.

Administrator danych lub podmiot przetwarzający, chcący uzyskać certyfikat, będzie musiał wykazać spełnienie kryteriów do jego uzyskania. Kryteria te w przyszłości określi i udostępni Prezes UODO (GIODO) w Biuletynie Informacji Publicznej Urzędu. Na obecną chwilę Prezes GIODO nie określił wspomnianych kryteriów i raczej w najbliższym czasie nie należy się spodziewać ich publikacji.

Przyznanie bądź odmowa przyznania certyfikatu będzie następować w drodze decyzji Prezesa UODO. Certyfikat będzie udzielany na czas określony – maksymalnie do 3 lat (art. 42 ust. 7 RODO). Będzie przy tym istniała możliwość przedłużenia ważności certyfikatu na kolejne okresy.  W trakcie ważności certyfikatu możliwe są kontrole w zakresie spełniania wymogów certyfikacji.

Potencjalne korzyści płynące z certyfikacji

Można zadać pytanie, po co zdobywać certyfikat, skoro nie wyłącza on odpowiedzialności za ewentualne naruszenie przepisów RODO? Argumentów za wprowadzeniem takiego rozwiązania jest co najmniej kilka.

Po pierwsze uzyskanie certyfikatu może mieć istotny walor  wizerunkowy. Obecnie brak jest odpowiednich instrumentów, które pozwoliłby podmiotom danych zweryfikować, czy określony administrator danych rzetelnie wywiązuje się ze swoich obowiązków związanych z ochroną danych osobowych.  Dzięki certyfikacji administrator będzie mógł się wyróżnić na tle konkurencji. W przyszłości może się to przełożyć na wzmocnienie jego pozycji rynkowej. Co więcej, certyfikacja będzie pomocna również samym administratorom, ponieważ ułatwi wybór odpowiedniego podmiotu przetwarzającego dane osobowe na zlecenie (podwykonawcy) w ramach outsourcingu czynności związanych z przetwarzaniem danych. Naturalnym powinien być wybór podwykonawcy mającego certyfikat niż tego, który go nie ma.

Po drugie certyfikat będzie niezwykle użytecznym instrumentem do wykazania realizacji wielu obowiązków przewidzianych wprost w RODO np.: obowiązku zapewnienia bezpieczeństwa danych oraz wdrożenia odpowiednich rozwiązań technicznych i prawnych mające na celu realizację zasady privacy by design / privacy by default.

Po trzecie posiadanie certyfikatu będzie miało wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów rozporządzenia. Zgodnie z art. 83 ust. 2 lit. j RODO krajowy organ nadzorczy, decydując się na nałożenie kary pieniężnej, musi przy ustalaniu jej wysokości wziąć pod uwagę czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. W ten sposób podmiot posiadający certyfikat może liczyć na łagodniejszy wymiar kary.

Po czwarte certyfikacja jest rozwiązaniem relatywnie tanim. W świetle art. 16 ust. 1 projektu UODO za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa GUS. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w II kwartale 2017 r. wynosiło 4220,69 zł[2] to całkowity koszt certyfikacji wyniesie ok. 13 000 zł.

Publikacje:

[1] T. Osiej, Charakter prawny nowych mechanizmów certyfikacji w zakresie ochrony danych osobowych, Informacja w administracji publicznej, nr. 2, str. 31.

[2]http://stat.gov.pl/sygnalne/komunikaty-i-obwieszczenia/lista-komunikatow-i-obwieszczen/komunikat-w-sprawie-przecietnego-wynagrodzenia-w-ii-kwartale-2017-roku,271,17.html.

 

W celu zapoznania się z tematyką i najważniejszymi zmianami wprowadzanymi rozporządzeniem RODO zachęcamy lekturę artykułu, umieszczonego na blogu IP Procesowo, pt: „Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony” autorstwa Huberta Kutkiewicza oraz Eweliny Ocipińskiej.

 

WSPÓŁAUTORAMI WPISU SĄ:

  MEC. ANETA PANKOWSKA                                       HUBERT KUTKIEWICZ

 

Powyższy wpis został również opublikowany na portalu Biznes Alert.

0 Komentarzy