7 najważniejszych decyzji Prezesa UODO w 2022 r.

Na Santander Bank Polska została nałożona kara w wysokości 545 tys. zł. Naruszenie polegało na zachowaniu dostępu do profilu płatnika PUE ZUS przez byłego pracownika banku, który mimo ustania zatrudnienia zachował dane dostępowe. W konsekwencji mógł nadal przeglądać dane osobowe pracowników banku.

Administrator uznał, że zdarzenie nie rodzi wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W konsekwencji zrezygnował z zawiadomienia o naruszeniu podmiotów danych. Tymczasem w ocenie organu nadzorczego już sam fakt, że nieuprawniony miał dostęp do danych o szerokim zakresie, rodzi wysokie ryzyko naruszenia praw i wolności podmiotów. Były pracowników mógł bowiem przeglądać dane osobowe wszystkich osób zatrudnionych w banku w dość długim okresie czasu.

W ocenie Prezesa UODO bank winien był zawiadomić podmioty danych o zdarzeniu.

Pobierz wzór komunikatu o naruszeniu ochrony danych dla podmiotów danych>>

Tymczasem bank ograniczył się jedynie do ogólnego publicznego komunikatu. Nie odnosił się on do konkretnego zdarzenia i nie ujmował wszystkich zagrożonych osób.

O decyzji Prezesa UODO z 19 stycznia 2022 r. (DKN.5131.33.2021) przeczytasz tutaj.

W ramach drugiej omawianej decyzji Prezes UODO wymierzył najwyższą administracyjną karę pieniężną w 2022 r. Była to kwota 4,9 mln zł nałożona na Fortum Marketing and Sales Polska S.A. W spółce tej doszło do wycieku danych osobowych klientów (ich skopiowania przez nieuprawnioną osobę) w momencie wprowadzania zmiany w środowisku IT przez podmiot przetwarzający, z którym współpracował administrator.

W trakcie wprowadzania tej zmiany procesor użył rzeczywistych danych osobowych. W szczególności mimo zobowiązania do tego w umowie powierzenia nie zastosował pseudonimizacji.

Administrator powinien na bieżąco weryfikować sposób realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe. Ukaranej spółce zarzucono też, że nie egzekwowała też od podmiotu przetwarzającego wykonania umowy i nie testowała systematycznie stosowanych środków bezpieczeństwa.

Więcej informacji o decyzji Prezesa UODO z 19 stycznia 2022 r. (DKN.5130.2215.2020)

Kolejna kara była zdecydowanie niższa (16 tys. zł) niemniej jednak także tą decyzję warto omówić. Sprawa dotyczyła zgubienia świadectwa pracy jednego z pracowników. Mimo tego pracodawca ograniczył się jedynie do poinformowania pracownika o zgubieniu jego świadectwa pracy.

Tymczasem w ocenie Prezesa UODO świadectwo pracy zawiera dane osobowe, których wyciek stanowi zagrożenie dla byłego pracownika. W szczególności istotne są tu informacje o trybie i podstawie prawnej rozwiązania lub podstawie prawnej wygaśnięcia stosunku pracy oraz dane o ewentualnym zajęciu egzekucyjnym wynagrodzenia. Dostęp do takich informacji ujawnia bowiem fakty o:

• życiu osobistym,

• problemach prawnych,

• statusie majątkowym.

Więcej na temat decyzji Prezesa UODO z 6 czerwca 2022 r. (DKN.5110.12.2021).

W 2022 r. po raz kolejny rozpatrywano sprawę Virgin Mobile Polska. Tym razem jednak ukarano jej następcę prawnego – P4 Sp. z o.o. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 1,6 mln zł za nieprawidłowości w zabezpieczaniu danych osobowych.

O pierwszej sprawie (zakończonej uchyleniem decyzji organu nadzorczego przez sąd) można przeczytać tutaj.

Sprawa ponownie trafiła do organu nadzorczego. Ten ponownie stwierdził, że spółka nie wdrożyła środków technicznych i organizacyjnych odpowiednich do poziomu ryzyka przetwarzania w ramach systemów IT. Przede wszystkim nie przewidziano rozwiązań w zakresie regularnego:

• testowania,

• mierzenia,

• oceniania skuteczności

przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W efekcie doszło do wycieku danych abonentów.

Decyzja Prezesa UODO z 16 listopada 2022 r. (DKN.5112.1.2020)

W jednej z gmin zgłoszono naruszenie ochrony danych polegające na kradzieży służbowego laptopa z danymi osobowymi. Jeden z pracowników urzędu zabrał laptop do domu, skąd został on skradziony. Ostatecznie laptop został odnaleziony i stwierdzono, że nikt nie uzyskał nieuprawnionego dostępu do przechowywanych w nim danych osobowych.

Jak ustalił organ nadzorczy, w urzędzie przeprowadzono analizę ryzyka. Przewidział w niej zagrożenie w postaci kradzieży nośników danych osobowych. Określił też środki bezpieczeństwa w związku z tym zagrożeniem. Niestety środków tych nie wdrożył. Dlatego Prezes UODO wymierzył karę w wysokości 8 tys. zł.

Analiza ryzyka ma swój cel. Jest nim wdrożenie wypracowanych na jej podstawie środków bezpieczeństwa. Samo przeprowadzenie analizy ryzyka, choćby w pełni kompleksowej nie wystarczy.

Jeden z ośrodków kultury powierzył przetwarzanie danych osobowych w związku ze świadczeniem na jego rzecz usług rachunkowych. Umowa dotyczyła:

• prowadzenia ksiąg rachunkowych, ewidencji oraz sporządzanie raportów (finanse, podatki, składki ZUS)

• przechowywania dokumentacji.

Mimo tego nie zawarł z biurem rachunkowym umowy powierzenia przetwarzania danych. Naruszenie to stwierdził Prezes UODO.

Nie było to jednak jedyne stwierdzone uchybienie. Organ nadzorczy stwierdził również, że przed powierzeniem przetwarzania danych osobowych potencjalny procesor nie został zweryfikowany. Administrator powinien był w pierwszej kolejności sprawdzić, czy potencjalny procesor gwarantował wdrożenie odpowiednich środków technicznych i organizacyjnych, w takim stopniu, aby przetwarzanie:

• spełniało wymogi RODO,

• chroniło prawa podmiotów danych.

W efekcie administratorowi wymierzono karę w wysokości 2,5 tys. zł.

O decyzji Prezesa UODO z 2 listopada 2022 r. (DKN.5131.8.2022) przeczytasz tutaj.

Ostatnie z omawianych orzeczeń dotyczy Głównego Geodety Kraju. Organowi temu wymierzono kolejną administracyjną karę pieniężną w wysokości 60 tys. zł. Po raz kolejny okazało się bowiem, że w Geoportalu ujawnione zostały numery ksiąg wieczystych przypisane do poszczególnych działek. Były one jawne przez 48 godzin w kwietniu 2022 r. Dzięki temu każdy mógł bez większych trudności ustalić właściciela danej nieruchomości. Co więcej, zyskiwał dostęp m.in. do jego numeru PESEL. To zaś rodziło bardzo wysokie ryzyko kradzieży tożsamości.

Mimo argumentów GGK Prezes UODO ponownie uznał, że doszło do naruszenia ochrony danych. Stwierdził bowiem, że numer księgi wieczystej stanowi daną osobową, ponieważ pozwala z łatwością ustalić tożsamość osoby fizycznej.

Więcej o decyzji Prezesa UODO z 6 lipca 2022 r. (DKN.5131.27.2022).