Wchodzimy już w drugi kwartał 2022 roku, zatem można śmiało podsumować nałożone kary w 2021 roku przez Prezesa Urzędu Ochrony Danych Osobowych. Łącznie nałożono 11 kar na kwotę 2027558 zł. Warto wspomnieć, iż również w roku 2021 nie uniknięto nałożenia w Polsce kar za brak współpracy z organem nadzorczym (4) oraz za brak zawiadomienia organu nadzorczego o naruszeniu (3); te kary powtarzają się niestety cyklicznie, świadczy to o słabej wiedzy i braku świadomości Administratorów. Ogólne rozporządzenie o ochronie danych (RODO) nałożyło przecież na administratorów i podmioty przetwarzające szereg nowych obowiązków w tym zakresie. Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający, ale również pracowników czy współpracowników tych podmiotów.
Poniżej przedstawiamy informacje czego dotyczyły naruszenia w 2021 roku, i na co zwracać uwagę aby podobnych kar uniknąć w przyszłości:
2021-01-11 – ENEA S.A. – 136 tys. zł – w przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych kilkuset osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych osób.
2021-03-19 – Funeda Sp. z o.o. – 22 739,50 zł – Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.
2021-04-22 – Cyfrowy Polsat S.A. – 1 136 975 zł – zgłoszenia naruszeń ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów (informowali, urząd i osoby nawet o identyfikacji nawet po 120 dniach od dnia zagubienia) lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów. W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
2021-04-27 – PNP SA – 22 tyś – Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań. W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji, UODO nie uzyskało informacji niezbędnych do rozpatrzenia sprawy.
2021.06.17 – P4 Sp. z o.o. (Play) – 100 000 zł – Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych. W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny – administrator danych – nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.
2021-06-21 – Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. – 159.176 zł – brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie – Podmiot przetwarzający wysłał błędnego maila z ofertami ubezpieczenia domu nie do tego klienta. Ergo została powiadomiona ale nie wysłała zgłoszenia naruszenia do UODO.
2021-06-30 – Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra – 13 644 zł – Naruszenie polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, oraz przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Naruszenie polegało na utracie danych osobowych 96 osób, na skutek kradzieży teczek zawierających dane osobowe beneficjentów z biura terenowego.
2021-08-13 – Prezes Sądu Rejonowego w Zgierzu – 10 tyś zł – naruszenie ochrony danych osobowych 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Naruszenie polegało na zagubieniu niezaszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.
2021-10-14 – Bank Millenium S.A. – 363.832 zł – UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą. W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych tylko dwóch osób.
2021-12-01 – Pactum Poland Sp. z o.o. – 18 192 zł – Urząd Ochrony Danych Osobowych, aby ustalić stan faktyczny sprawy zainicjowanej skargą, zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Z czterech wysłanych Spółce wezwań, ta odebrała tylko jedno, na które jednak nie odpowiedziała. Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679)
2021-12-09 – Politechnika Warszawska – 45 tyś zł – do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób). Na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych. RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.
Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu/ w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach.
W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
W razie pytań zapraszamy do kontaktu z naszymi specjalistami:
e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500