"Zbyt późne identyfikowanie naruszeń naraża klientów na niebezpieczeństwo"
Taki komunikat wydał Urząd Ochrony Danych Osobowych nakładając 1 136 975 złotych kary pieniężnej na Cyfrowy Polsat S.A.
Kara został nałożona za
„niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych”.
Jak opisuję całą sytuację Urząd ?
Zaczęło się od tego, że Cyfrowy Polsat S.A. regularnie zgłaszał UODO naruszenie polegające na
„utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów”
Naruszenia trwały przez długi okres czasu, w samej decyzji udostępnionej przez Urząd został on zanonimizowany. Wczytując się w decyzję można jednak wydedukować że decyzja dotyczy ona lat 2018 -2020, a liczba naruszeń dot. tego samego typu incydentu wzrastała.
W każdym ze zgłoszeń dot. incydentu Spółka w swoich wyjaśnieniach dotyczących jego wystąpienia wskazywała
„że przedmiotowe naruszenia będą podlegały dalszej i ciągłej analizie porównawczej z ewentualnymi naruszeniami dokonywanymi w przyszłości celem ustalenia skuteczności podjętych środków mających na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia”
„Ponadto zwrócono uwagę na znaczny upływ czasu od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do daty jego stwierdzenia przez Spółkę i w konsekwencji zawiadomienia osób, których dane dotyczą oraz Prezesa UODO o naruszeniu”
Prezes UODO, zwrócił się do Spółki z prośbą o wyjaśnienia i wskazanie:
„1. działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę w II kwartale 2020 r. w sprawach naruszeń mających związek z dostarczaniem przesyłek przez firmy kurierskie; 2. czy, a jak tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą; 3. czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, jak tak, to jakie były wyniki ww. analizy."
Spółka udzieliła odpowiedzi argumentując, że przewoźnik zapewnił ją o bieżącym monitorowaniu naruszeń i podejmowaniu działań celem ich wyeliminowania.
W swoich wyjaśnieniach umieściła również, standardowo już używany chyba przez wszystkie podmioty, nie tylko w zakresie RODO, oczywiście często mający odbicie w rzeczywistości argument dot. pandemii.
Spółka przekazała również korespondencję z przewoźnikiem jako dowód potwierdzający wyjaśnienie rozmów, niestety załączona dokumentacja nie dotyczyła właściwego Kontrahenta. Spółka nie odniosła się do tego błędu.
Kolejne wyjaśnienia brzmiały:
„Spółka przekazała wyjaśnienia w przedmiocie naruszeń polegających na doręczeniu dokumentów osobom trzecim, zgodnie z którymi w większości przypadków, jak wynika z wyjaśnień przewoźnika, osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą.”
W odniesieniu do powyższego, jak w swojej decyzji napisał PUODO:
„Spółka nie wyjaśniła jednak, do którego z 3 pytań z pisma Prezesa UODO się odnosi, ani co w jej rozumieniu oznacza przekazanie danych osobowych osobie trzeciej – bliskiej, wskutek działania na życzenie lub na żądanie klienta.”
W dalszej kolejności Prezes UODO wskazał:
„Zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych, przepisów rozporządzenia 2016/679 w zakresie:
1. Niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679./ 2. Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co stanowi naruszenie art. 34 ust. 1 rozporządzenia 2016/679. 3. Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi naruszenie art. 31 rozporządzenia 2016/679.”
W związku z czym wszczęto postępowania administracyjne.
Pełne dość obszerne wyjaśnienia Spółki oraz z samą decyzją zapoznać się można tutaj: https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020
Bardzo ciekawym wątkiem w całej karze jest to, że dostawca pocztowy w tym przypadku umocowany był jako podmiot przetwarzający, co wg wskazań UODO, zamieszczonych tutaj: https://uodo.gov.pl/pl/225/1871, jest błędem.
„W przypadku, gdy dojdzie do zagubienia tylko zwrotnego potwierdzenia odbioru, podmiotem zobowiązanym do dokonania oceny w zakresie konsekwencji takiego zdarzenia jest operator pocztowy. Zwrotne potwierdzenie odbioru jest elementem dodatkowej usługi (przesyłki za zwrotnym potwierdzeniem odbioru) oraz zawiera takie dane, jak imię i nazwisko, adres adresata i nadawcy przesyłki, a także datę, imię i nazwisko odbiorcy.
Poczta Polska i inni operatorzy pocztowi w związku z wykonywaniem usług pocztowych są administratorami danych osobowych nadawców i adresatów przesyłek, a jednocześnie odpowiadają za bezpieczeństwo przesyłek (i zawartych w nich danych osobowych) w ramach należytego wykonywania usług pocztowych oraz przestrzegania zasad i obowiązków określonych w Prawie pocztowym.”
Czy umowa powierzenia w tym przypadku nie przesądziła o nałożeniu kary na Cyfrowy Polsat ?
Cytując już sam Urząd:
„Pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń. Ponadto było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie...
… Prezes UODO zdecydował się nałożyć na spółkę karę ... gdyż zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości. Nie gwarantowałoby również tego, że administrator ten w przyszłości nie dopuści się podobnych zaniedbań.”
A jakie wnioski z samej decyzji płyną dla każdego z nas ?
Podsumowując powyższą decyzję na pewno zajmując się incydentem, należy zawsze pamiętać o tym, że:
- Analizując każdy incydent, zawsze na wstępie należy założyć, że musimy o nim powiadomić Urząd i iść w stronę znalezienia naprawdę silnego argumenty, żeby takiego zgłoszenia nie dokonać,
- przeprowadzając ocenę, nie możemy zmniejszać oceny ryzyka na siłę, zawsze trzeba założyć najgorszy scenariusz,
- Wysyłając zgłoszenie dot. incydentu wypełniając punkt 9B. Środki bezpieczeństwa zastosowane lub proponowane w celu zminimalizowana ryzyka ponownego wystąpienia naruszenia,
zobowiązując się w nim do wdrożenia dodatkowych zabezpieczeń lub dokonaniu działań naprawczych – dokonajmy wdrożenia wskazanych działań w życie,
- Dwa razy weryfikujmy informacje przekazywane do UODO, żeby nie strzelić sobie w przysłowiowe kolano, a jeśli popełnimy błąd to się do niego odnieśmy, żeby nie wszczynać postępowania administracyjnego,
- Nigdy nie kłamiemy w zgłoszeniu do UODO,
- Osoby o incydencie ich dotyczącym informuj niezwłocznie,
- Pamiętaj, że jako Administrator to TY odpowiadasz, za dane osobowe, a jeśli korzystasz z innych podmiotów, którym powierzasz dane, jesteś zobowiązany wybraniem takich, które zapewniają odpowiednie bezpieczeństwo, a jeśli tego nie robią, to powinieneś z ich usług zrezygnować.,
- Nie zapominaj o dokonywaniu regularnych przeglądów wprowadzonych środków ochrony danych, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń.
Pozdrawiamy,
Zespół rodo.pl
Źródła:
https://uodo.gov.pl/pl/225/1871
https://uodo.gov.pl/pl/138/2048
Comments