Podsumowanie roku 2022

Nadszedł czas podsumowania 2022 roku, zatem można śmiało przedstawić nałożone kary w minionym roku przez Prezesa Urzędu Ochrony Danych Osobowych. Łącznie nałożono 13 kar na kwotę blisko dwunastu milionów złotych, a dokładnie 11 998 000 zł. 

Jak się wydaje te kary są wynikiem słabej wiedzy i braku świadomości Administratorów. Ogólne rozporządzenie o ochronie danych (RODO) nałożyło przecież na administratorów i podmioty przetwarzające szereg obowiązków w tym zakresie. Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający, ale również pracowników czy współpracowników tych podmiotów.

Poniżej przedstawiamy informacje czego dotyczyły naruszenia w 2022 roku, i na co zwracać uwagę aby podobnych kar uniknąć w przyszłości:

1. 2022-01-19 – Santander Bank Polska S. A.– kara 546 000 zł – sprawa dotyczy naruszenia ochrony danych osobowych 10 500 osób, pracowników Banku. W okresie od czerwca 2020 do lutego 2021 roku były pracownik, któremu po odejściu z pracy nie odebrano uprawnień do logowania się na platformę PUE ZUS, logował się minimum 6 krotnie i mógł pozyskiwać wrażliwe dane dotyczące pracowników Banku.  Doszło  więc do istotnego naruszenie zasad ochrony danych osobowych. Santander Bank Polska nie powiadomił pracowników o zaistniałej sytuacji.  Prezes UODO stwierdził,  iż doszło do naruszenia poufności danych. Z uwagi na to, że niniejsze naruszenie poufności dotyczy numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania lub pobytu oraz informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, to należy uznać, że wiąże się ono z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, z tego też względu konieczne jest zawiadomienie osób, których dane dotyczą. Bank wskazał, że bazując na informacjach przekazanych mu przez Zakład Ubezpieczeń Społecznych będący operatorem platformy PUE ZUS, nie zidentyfikowano nielegalnego przetwarzania danych. Bank wskazał dodatkowo, że jeśli jednak hipotetycznie doszło do naruszenia ochrony danych osobowych, to tylko w zakresie, w jakim były pracownik miał dostęp do danych w okresie zatrudnienia. W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych. Wymiana pism trwała pomiędzy Bankiem i PUODO do stycznia 2022 roku, kiedy to nałożono karę finansową 170 tyś Euro czyli prawie 550 tyś zł.

2. 2022-01-19 – FORTUM Marketing and Sales Polska S.A.– kara 4 912 000 zł/2022-01-19 – PIKA Sp. z o.o. – kara 250 000 zł –  Firma Fortum zajmuje się obrotem energią elektryczną i paliwem gazowym. Z jej usług korzystają, zarówno odbiorcy indywidualni jak i z sektora biznesowego. Sprawa jest ściśle powiązana z naruszeniem, którego dokonała PIKA Sp. z o.o. polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Z powodu powolnego działania systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne administrator zlecił podmiotowi przetwarzającemu tj. Firmie PIKA prace usprawniające system. W trakcie pracy nad systemem doszło do skopiowania danych klientów firmy Fortum przez nieuprawnione podmioty. Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach Fortum w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika). Łącznie doszło do  naruszenie danych osobowych 120 428 klientów z czego 95 711 to osoby fizyczne, pozostali to klienci biznesowi i osoby zmarłe. Administrator nie powiadomił o naruszeniu osób, których ono dotyczyło, uczynił to dopiero na wniosek Prezesa Urzędu Ochrony Danych Osobowych.  Zebrany w sprawie materiał potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy PIKA w sposób prawidłowy realizuje swoje obowiązki. W ocenie Prezesa UODO, zarówno Fortum, jak i PIKA, nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi poważne naruszenie przepisów ODO. Na wysokość nałożonych kar na Administratora oraz Podmiot Przetwarzający dane, miały wpływ: charakter i wagę naruszenia, stopień odpowiedzialności, kategoria danych osobowych, czas trwania naruszenia, nieumyślny charakter naruszenia oraz działania podjęte dla zminimalizowania szkód.

3. 2022-03-22 – NN – kara 6 800 zł – UODO podjął działania, aby zweryfikowaćskargęosoby fizycznej w sprawie utrwalania jej wizerunku za pomocą monitoringu wizyjnego. Urząd wezwał do ustosunkowania się do skargi oraz złożenia wyjaśnień Administratora. Wezwanie dostarczone za pośrednictwem Poczty Polskiej nie zostało podjęte mimo dwukrotnego awizowania. Po 5 miesiącach UODO ponownie przesłał na adres Administratora pismo, które został przyjęte. Mimo to nie uzyskano wyjaśnień. W związku z brakiem reakcji na korespondencję Prezes UODO nałożył na Administratora finansową karę administracyjną.

4. 2022-05-31 – Stołeczny Ośrodek dla Osób Nietrzeźwych – kara 10 000 zł – Prezes UODO stwierdził naruszenie polegające na nagrywaniu i utrwalaniu dźwięku w zainstalowanym Ośrodku systemie monitoringu. Administrator argumentował, że celem przetwarzania sygnału audio i video jest: „sprawowanie stałego nadzoru nad osobami doprowadzonymi w celu wytrzeźwienia dla zapewnienia im bezpieczeństwa, stały nadzór nad osobą umieszczoną w zamkniętym pomieszczeniu przeznaczonym do izolacji oraz kontrola wykonywania czynności związanych z zastosowaniem izolacji. Co jest zgodne z ustawą o Wychowaniu w trzeźwości i przeciwdziałania alkoholizmowi, rozporządzeniem Ministra Zdrowia w sprawie izb wytrzeźwień oraz statutem jednostki”. Biorąc pod uwagę powyższe argumenty Prezes UODO stwierdził, że w tym przypadku nagrywanie dźwięku jest działaniem nadmiarowym. W związku tym została nałożona kara w wysokości 10 000 zł. 

5. 2022-06-06 – Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. – kara 16 000 zł – powodem nałożenia kary jest zagubienie świadectwa pracy osoby zatrudnionej w spółce. Incydent ten nie został zgłoszony do UODO. W związku z tym Prezes UODO nałożył na firmę karę administracyjną.

6. 2022-07-06 – Główny Geodeta Kraju – kara 60 000 zł – Prezes UODO stwierdził naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin. Incydent ten poległ na ujawnieniu numerów ksiąg wieczystych. Administrator argumentował, że skoro cała księga wieczysta (a więc i jej numer) jest jawny, a numery ksiąg wieczystych są także powszechnie dostępne w innych źródłach, że ich publikacja nie niesie w sobie żadnego zagrożenia dla praw  i wolności osób fizycznych. Prezes UODO wykazał możliwość zidentyfikowania osoby fizycznej poprzez ujawnienie numeru księgi wieczystej. Zakres ujawnianych w księdze wieczystej danych osób fizycznych obejmuje m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości. Stanowisko PUODO zostało poparte wyrokiem  Sądu Administracyjnego w Warszawie.

7. 2022-07-06 – Warszawski Uniwersytet Medyczny – kara 10 000 zł – powodem nałożenia kary jest niezgłoszenie w ciągu 72 godzin naruszenia ochrony danych osobowych. Jeden z pacjentów otrzymał skierowanie na badania zawierające dane innej osoby: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady). Administrator nie zgłosił incydentu do Urzędu ODO.

8. 2022-08-30 – TIMSHEL Sp. z o.o.– kara 32 000 zł – do UODO drogą elektroniczną wpłynęło od spółki THIMSHEL zgłoszenie naruszenie ochrony danych osobowych, nie zawierało ono jednak załącznika dedykowanego dla tego typu powiadomień. W związku z brakiem informacji istotnych dla oceny  naruszenia Prezes UODO przesłał pismo zalecające uzupełninie dokumentacji. Pismo nie zostało odebrane. Mimo ponownych prób doręczenia pism Spółka nie podjęła listów. W zaistniałej sytuacji Prezes UODO wszczął postępowanie administracyjne w przedmiocie nałożenia kary.

9. 2022-09-07 – Sułkowicki Ośrodek Kultury – kara 2 500 zł – Prezes UODO stwierdziła naruszenie polegające na powierzeniu przetwarzania danych bez zawartej umowy i bez weryfikacji czy podmiot przetwarzający spełnia wymagania. Administrator zlecił firmie zewnętrznej prowadzenie ksiąg rachunkowych, i ewidencji w obszarze finansów, podatków i ZUS. Tym samym powierzając mu przetwarzanie danych osobowych 30 pracowników i byłych pracowników Administratora w postaci: imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych dotyczących zdrowia.

10. 2022-11-02 – Wójt Gminy Dobrzyniewo Duże – kara 8 000 zł – powodem nałożenia kary jest przetwarzanie danych osobowych w sposób niezapewniający bezpieczeństwo danych osobowych.        Z mieszkania pracownika Urzędu Gminy skradziono służbowy komputer zawierający 51 rekordów z danymi osobowymi: imię i nazwisko, adres zamieszkania oraz PESEL.Dysk twardy komputera nie był szyfrowany co mogło doprowadzić dopozyskania danych osobowych. Skradziony komputer odzyskano. Analiza logów systemu Windows wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany (brak informacji o logowaniu do systemu).

11. 2022-11-03 – P4 Sp. z o.o. (PLAY) – 100 000 zł – Do Prezesa UODO wpłynęła skarga od osoby prywatnej o następującej treści: „W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu”.  Na zapytanie skierowanie do spółki uzyskano wyjaśnienia, że umowę wysłano na adres e-mail podany przez klienta na umowie. Następnie Klient wrócił do POS z informacją, iż adres wskazany na Umowie jest błędny i poprosił o jego usunięcie. Klient nie wskazał innego adresu e-mail do kontaktu. Spółka odnotowała ten fakt. Pracownik Punktu Obsługi Klienta, w którym doszło do podpisania umowy wyjaśnił, że gdy osoba zawierająca umowę poda adres e-mail do kontaktu podczas procesu podpisania umowy z wydrukiem dokumentów (do podpisania), to automatycznie generuje się wysyłka kopii dokumentów na wskazany adres e-mail. Można nie realizować wysyłki oznaczając specjalne pole w systemie sprzedażowym. Pracownik POS nie odznaczył tego pola i dlatego też e-mail z kopiami dokumentów został wysłany do Klienta. Spółka P4 stwierdziła, że nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego też nie zgłosiła ww. naruszenia do Prezesa UODO oraz nie powiadomiła o nim Klienta. W związku z tym Prezes UODO wszczął wobec Spółki postępowanie administracyjne i nałożył karę finansową.

12. 2022-11-30 – PIONIER S.C.(firma prawnicza) – kara 45 700 zł – na wniosek Komendanta Powiatowego Policji Prezes UODO rozpoczął czynności kontrolne u Administratora. W pismach skierowanych do Wspólników Spółki wnioskował o udostępnienie informacji dotyczących sposobu, celu i podstawy prawnej przetwarzania danych osobowych w związku z działalnością gospodarczą prowadzoną przez Administratora. Działalność prowadzona przez Wspólników Spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Z uwagi na brak dostatecznej współpracy Wspólników Spółki Prezes UODO zdecydował o wszczęciu kontroli. Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Wspólnicy Spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych potencjalnych klientów Wspólników Spółki, w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych. W związku z tym Prezes UODO rozpoczął postępowanie administracyjne z urzędu. Mimo otrzymania pism zawiadamiających o wszczęciu postepowania wobec Wspólników Spółki żaden z nich nie złożył wyjaśnień.W toku kontroli i po wysłuchaniu wyjaśnień pracowników PUODO uznał, że przetwarzanie danych potencjalnych klientów przez Administratorów jest nieproporcjonalne do pożądanego rezultatu, który chcą oni osiągnąć i nie jest do tego celu niezbędne.

Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. 

W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.