Aktualny

7 najważniejszych decyzji Prezesa UODO w 2022 r.

Dodano: 30 grudnia 2022
decyzje UODO

W 2022 r. Prezes UODO wydał 40 decyzji. Wybrane z nich prezentujemy w podsumowaniu 2022 r. Sprawdź, w jakich sytuacjach polski organ nadzorczy wymierzał administracyjne kary pieniężne. Dowiedz się, jakich błędów nie popełniać, aby uniknąć takich kar.

Liczy się ryzyko naruszenia praw i wolności osób fizycznych

Na Santander Bank Polska została nałożona kara w wysokości 545 tys. zł. Naruszenie polegało na zachowaniu dostępu do profilu płatnika PUE ZUS przez byłego pracownika banku, który mimo ustania zatrudnienia zachował dane dostępowe. W konsekwencji mógł nadal przeglądać dane osobowe pracowników banku.

Administrator uznał, że zdarzenie nie rodzi wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W konsekwencji zrezygnował z zawiadomienia o naruszeniu podmiotów danych. Tymczasem w ocenie organu nadzorczego już sam fakt, że nieuprawniony miał dostęp do danych o szerokim zakresie, rodzi wysokie ryzyko naruszenia praw i wolności podmiotów. Były pracowników mógł bowiem przeglądać dane osobowe wszystkich osób zatrudnionych w banku w dość długim okresie czasu.

Uwaga

Zawiadomienie podmiotów danych jest konieczne już w przypadku samego wysokiego ryzyka naruszenia praw i wolności osób fizycznych, a nie dopiero w przypadku tego naruszenia.

W ocenie Prezesa UODO bank winien był zawiadomić podmioty danych o zdarzeniu.

Tymczasem bank ograniczył się jedynie do ogólnego publicznego komunikatu. Nie odnosił się on do konkretnego zdarzenia i nie ujmował wszystkich zagrożonych osób.

Konieczne testowanie środków bezpieczeństwa

W ramach drugiej omawianej decyzji Prezes UODO wymierzył najwyższą administracyjną karę pieniężną w 2022 r. Była to kwota 4,9 mln zł nałożona na Fortum Marketing and Sales Polska S.A. W spółce tej doszło do wycieku danych osobowych klientów (ich skopiowania przez nieuprawnioną osobę) w momencie wprowadzania zmiany w środowisku IT przez podmiot przetwarzający, z którym współpracował administrator.

W trakcie wprowadzania tej zmiany procesor użył rzeczywistych danych osobowych. W szczególności mimo zobowiązania do tego w umowie powierzenia nie zastosował pseudonimizacji.

Administrator powinien na bieżąco weryfikować sposób realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe. Ukaranej spółce zarzucono też, że nie egzekwowała też od podmiotu przetwarzającego wykonania umowy i nie testowała systematycznie stosowanych środków bezpieczeństwa.

Uwaga

Nie wystarczy samo wdrożenie środków bezpieczeństwa danych. Należy je poddawać regularnym przeglądom i testom.

Uwaga na zgubione świadectwo pracy

Kolejna kara była zdecydowanie niższa (16 tys. zł) niemniej jednak także tą decyzję warto omówić. Sprawa dotyczyła zgubienia świadectwa pracy jednego z pracowników. Mimo tego pracodawca ograniczył się jedynie do poinformowania pracownika o zgubieniu jego świadectwa pracy.

Tymczasem w ocenie Prezesa UODO świadectwo pracy zawiera dane osobowe, których wyciek stanowi zagrożenie dla byłego pracownika. W szczególności istotne są tu informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy oraz dane o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Dostęp do takich informacji ujawnia bowiem fakty o:

  • życiu osobistym,

  • problemach prawnych,

  • statusie majątkowym.

Uwaga

Ryzyko naruszenia praw i wolności podmiotów danych występuje już w przypadku zgubienia świadectwa pracy, a nie dopiero wtedy, gdy dokument ten wszedł w posiadanie nieuprawnionej osoby. Już wtedy należy zgłosić naruszenie ochrony danych do Prezesa UODO.

Nie wystarczy jednorazowy przegląd środków bezpieczeństwa

W 2022 r. po raz kolejny rozpatrywano sprawę Virgin Mobile Polska. Tym razem jednak ukarano jej następcę prawnego – P4 Sp. z o.o. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 1,6 mln zł za nieprawidłowości w zabezpieczaniu danych osobowych.

Sprawa ponownie trafiła do organu nadzorczego. Ten ponownie stwierdził, że spółka nie wdrożyła środków technicznych i organizacyjnych odpowiednich do poziomu ryzyka przetwarzania w ramach systemów IT. Przede wszystkim nie przewidziano rozwiązań w zakresie regularnego:

  • testowania,

  • mierzenia,

  • oceniania skuteczności

przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W efekcie doszło do wycieku danych abonentów.

Uwaga

Nie wystarczy jednorazowy przegląd i test środków bezpieczeństwa. Czynności takie należy wykonywać systematycznie.

Przeprowadzenie analizy ryzyka to nie wszystko

W jednej z gmin zgłoszono naruszenie ochrony danych polegające na kradzieży służbowego laptopa z danymi osobowymi. Jeden z pracowników urzędu zabrał laptop do domu, skąd został on skradziony. Ostatecznie laptop został odnaleziony i stwierdzono, że nikt nie uzyskał nieuprawnionego dostępu do przechowywanych w nim danych osobowych.

Jak ustalił organ nadzorczy, w urzędzie przeprowadzono analizę ryzyka. Przewidział w niej zagrożenie w postaci kradzieży nośników danych osobowych. Określił też środki bezpieczeństwa w związku z tym zagrożeniem. Niestety środków tych nie wdrożył. Dlatego Prezes UODO wymierzył karę w wysokości 8 tys. zł.

Analiza ryzyka ma swój cel. Jest nim wdrożenie wypracowanych na jej podstawie środków bezpieczeństwa. Samo przeprowadzenie analizy ryzyka, choćby w pełni kompleksowej nie wystarczy.

Uwaga

Administrator musi wdrożyć wypracowane na podstawie analizy ryzyka środki bezpieczeństwa.

Należy udokumentować weryfikację procesora

Jeden z ośrodków kultury powierzył przetwarzanie danych osobowych w związku ze świadczeniem na jego rzecz usług rachunkowych. Umowa dotyczyła:

  • prowadzenia ksiąg rachunkowych, ewidencji oraz sporządzanie raportów (finanse, podatki, składki ZUS)

  • przechowywania dokumentacji.

Mimo tego nie zawarł z biurem rachunkowym umowy powierzenia przetwarzania danych. Naruszenie to stwierdził Prezes UODO.

Uwaga

Firma rachunkowa, świadcząc swoje usługi na rzecz ADO, ma status procesora i należy z nią zawrzeć pisemną umowę powierzenia przetwarzania danych.

Nie było to jednak jedyne stwierdzone uchybienie. Organ nadzorczy stwierdził również, że przed powierzeniem przetwarzania danych osobowych potencjalny procesor nie został zweryfikowany. Administrator powinien był w pierwszej kolejności sprawdzić, czy potencjalny procesor gwarantował wdrożenie odpowiednich środków technicznych i organizacyjnych, w takim stopniu, aby przetwarzanie:

  • spełniało wymogi RODO,

  • chroniło prawa podmiotów danych.

W efekcie administratorowi wymierzono karę w wysokości 2,5 tys. zł.

Uwaga

Zanim administrator powierzy przetwarzania danych, powinien przeprowadzić proces weryfikacji potencjalnego procesora i być w stanie to udokumentować.

Powszechna dostępność nie wyłącza ochrony danych osobowych

Ostatnie z omawianych orzeczeń dotyczy Głównego Geodety Kraju. Organowi temu wymierzono kolejną administracyjną karę pieniężną w wysokości 60 tys. zł. Po raz kolejny okazało się bowiem, że w Geoportalu ujawnione zostały numery ksiąg wieczystych przypisane do poszczególnych działek. Były one jawne przez 48 godzin w kwietniu 2022 r. Dzięki temu każdy mógł bez większych trudności ustalić właściciela danej nieruchomości. Co więcej, zyskiwał dostęp m.in. do jego numeru PESEL. To zaś rodziło bardzo wysokie ryzyko kradzieży tożsamości.

Mimo argumentów GGK Prezes UODO ponownie uznał, że doszło do naruszenia ochrony danych. Stwierdził bowiem, że numer księgi wieczystej stanowi daną osobową, ponieważ pozwala z łatwością ustalić tożsamość osoby fizycznej.

Uwaga

To, że numer księgi wieczystej jest ogólnodostępny, nie oznacza, że nie podlega ochronie RODO.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x