Rekordowa kara za naruszenie przepisów Rodo
Rekordowa kara administracyjna została nałożona przez organ ochrony danych osobowych na spółkę akcyjną działającą w Polsce w wysokości 4,9 mln złotych za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych- czyli naruszenie art. 32 ust. 1 i 2 Rodo. Ponadto w niniejszej sprawie kara została dodatkowo nałożona na podmiot przetwarzający w wysokości 250 tys. złotych.
W niniejszej sprawie doszło do naruszenia poufności czyli fundamentalnej zasady oraz brak weryfikacji podmiotu przetwarzającego i stosowanych przez niego środków technicznych i organizacyjnych. To właśnie to przyczyniło się do nałożenia tak wysokiej kary i objęcia kara również bezpośrednio podmiot przetwarzający. Wina za te naruszenia obciąża jednak głównie Administratora. Ta decyzja pokazuje jednak jak powinna wyglądać taka weryfikacja podmiotu przetwarzającego oraz jak bardzo jest ona ważna. Każdy podwykonawca administratora powinien być weryfikowany. Ponadto po raz już kolejny wskazuje się jak ważne jest wprowadzenie i stosowanie odpowiednich środków organizacyjnych i technicznych.
Administrator danych powierzył podmiotowi przetwarzającemu prowadzenie cyfrowego archiwum. Podmiot przetwarzający dokonał nieuprawnionego skopiowania danych osobowych i wprowadził zmiany w środowisku teleinformatycznym. Zmiany te nie zostały ustalone z Administratorem. Do naruszenia doszło do w związku z prowadzeniem przez podmiot przetwarzający prac zleconych przez administratora danych. Administrator nie dokonał zawiadomienia osób, których danych dotyczyło naruszenie, dokonał tego dopiero na skutek wystąpienia Prezesa UODO.
W przypadku naruszenia art. 32 Rodo organ wskazał na bardzo ważne dwuetapowe ustalenie jakie środki techniczne i organizacyjne należy zastosować. Pierwszy etap czyli ocena ryzyka i jego identyfikacja oraz kolejny czyli wprowadzenie środków, które pozwolą zapewnić bezpieczeństwo przetwarzania danych. Z tego artykułu wynika tez obowiązek regularnego testowania, mierzenia i oceny skuteczności wdrożonych środków. istotne są tutaj nie tylko rozwiązania techniczne, ale przede wszystkim wdrożone i stosowane procedury. W uzasadnieniu niniejszej decyzji znajdziemy bardzo dużo odniesień do relacji pomiędzy administratorem, a podmiotem przetwarzającym. W szczególności dotyczą one stwierdzone nieprawidłowości. Administrator nie dokonał audytu stosowanych przez podmiot przetwarzający zabezpieczeń i nie dokonał weryfikacji prac jakie miał prowadzić podmiot przetwarzający. Wprost wskazuje się, że przeprowadzenie audytów i kontrola podmiotu przetwarzającego jest jednym z obowiązków pozwalających wykazać stosowanie prawidłowe art. 32 Rodo.
Na wysokość kary wpłynęło kilka czynników. Przede wszystkim duże naruszenie administratora, polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych, umożliwienie osobom nieuprawnionym dostępu do danych osobowych. W stosunku do osób, których dane zostały ujawnione dalej istnieje ryzyko niezgodne z prawem posłużenia się danymi osobowymi. Dalej osoby te ponosić mogą szkody. Już samo naruszenie poufności stanowi szkodę - krzywdę. Bardzo istotny jest także zakres danych organ nadzoru stwierdził, że pomimo tego że naruszenie dotyczy danych zwykłych to ich zakres jest bardzo szeroki i jest to bardzo istotne i wiąże się z wysokim ryzykiem naruszenia. Wskazuje się również na to, że ujawnienie nr Pesel wraz z innymi danymi stanowi realne i negatywne wpływanie na ochronę praw i wolności osób fizycznych. Wymierzając karę uwzględniono długość naruszenia w tym konkretnym wypadku 5 dni, Podmiot przetwarzający został ukarany, ponieważ nie zastosował zasad bezpieczeństwa do których stosowania został zobowiązany.
Kontakt: d.rychlik@kancelariaattorney.pl
instagram: rychlik.daria