Ustalenia faktyczne
Spółka regularnie dokonywała zgłoszeń naruszeń ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe.
Prezes UODO dokonując analiz zgłoszeń naruszeń ochrony danych osobowych, w których Spółka wskazała, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zwrócił uwagę na wzrost liczby zgłoszeń naruszeń tego typu w czerwcu 2020 r., w porównaniu z okresem od stycznia do maja 2020 r. Zwrócono także uwagę na znaczny upływ czasu od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do daty jego stwierdzenia przez Spółkę i w konsekwencji zawiadomienia osób, których dane dotyczą oraz Prezesa UODO o naruszeniu. Dokonywane przez Spółkę zgłoszenia w poddanym analizie okresie dotyczyły m.in. zdarzeń powodujących naruszenia ochrony danych osobowych z lutego oraz stycznia 2020 r., a nawet zdarzeń z 2019 r.
Prezes UODO, na podstawie art. 58 ust. 1 lit. a RODO i art. 58 ust. 1 lit. e RODO, zwrócił się do Spółki o przekazanie informacji i wskazanie:
- działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę w II kwartale 2020 r. w sprawach naruszeń mających związek z dostarczaniem przesyłek przez firmy kurierskie;
2. czy, a jak tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą;
3. czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, jak tak, to jakie były wyniki ww. analizy.
Jednocześnie przedstawione zostały Spółce ogólne wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonanych przez nią w czerwcu 2020 r.
Spółka w ramach składanych wyjaśnień nie wskazała, do którego z 3 pytań z pisma Prezesa UODO się odnosi, ani co w jej rozumieniu oznacza przekazanie danych osobowych osobie trzeciej – bliskiej, wskutek działania na życzenie lub na żądanie klienta. W zakresie określonym w pkt 1 pisma Prezesa UODO z lipca 2020 r. Spółka nie przedstawiła dostatecznych dowodów na podejmowane przez nią działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia. W zakresie określonym w pkt 2 pisma Prezesa UODO, w którym zwrócono się o wskazanie technicznych i organizacyjnych środków ochrony wdrożonych przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą, Spółka nie wskazując, czy wdrożone zostały środki techniczne bądź proceduralne poinformowała, że „wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych.
Spółka udzieliła wyjaśnień, z których wynika m.in., że została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków naruszeń. Spółka wskazała, że w drugim kwartale tego roku dla Spółki istotne było przede wszystkim zapewnienie bezpieczeństwa i zdrowia klientów i kurierów w trakcie trwającej pandemii.
Spółka wskazała również, że wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych. Spółka wyjaśniła dodatkowo, że istotny wpływ na terminowość zgłoszeń naruszeń ochrony danych osobowych dotyczących przedmiotowego postępowania w zakresie weryfikacji poprawności obsługi procesu dokumentów zwrotnych miał okres trwającej pandemii.
Zgromadzony materiał nie mógł potwierdzić wyjaśnień Spółki, że „istotny wpływ na terminowość zgłoszeń naruszeń danych osobowych dotyczących niniejszego postępowania Urzędu, dotyczących weryfikacji poprawności obsługi procesu dokumentów zwrotnych, miał okres trwającej pandemii”, ponieważ 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane przez Spółkę powyżej 90 dni od daty zdarzenia, tj. zdarzenia sprzed ogłoszenia stanu pandemii. Ponad 17 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia powodującego naruszenie ochrony danych osobowych. Ponadto, Spółka nie odniosła się do wniosku Prezesa UODO o wskazanie, czy dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, a jeśli tak, to jakie były wyniki ww. analizy.
Zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych, przepisów RODO w zakresie:
- niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
- niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co stanowi naruszenie art. 34 ust. 1 RODO.
- nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi naruszenie art. 31 RODO.
Uzasadnienie z decyzji Prezesa UODO
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k RODO – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej.
Przede wszystkim wyżej przedstawione wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonywanych przez Spółkę wskazują jednoznacznie na nadmierne opóźnienia w identyfikacji naruszeń i w konsekwencji opóźnienia w zawiadomieniu o naruszeniach osób dotkniętych tymi naruszeniami. Takie opóźnienia, wynikające z niewdrożenia przez Spółkę odpowiednich środków technicznych i organizacyjnych zapewniających szybką identyfikację naruszeń ochrony danych osobowych, uznać należy za poważne i wymagające negatywnej oceny w kontekście ryzyka ponoszonego prze osoby, których dane osobowe naruszono.
Zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat). Tak szeroki zakres danych osobowych ujawnianych osobom nieupoważnionym i pozostających w posiadaniu tych osób przez dłuższy czas – w konsekwencji naruszenia stwierdzonego niniejszą decyzją – bez wiedzy i bez możliwości jakiejkolwiek reakcji podmiotu tych danych, musi wpływać obciążająco na ocenę stwierdzonego naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej. Podkreślić należy, że naruszenie, którego dopuściła się Spółka, wiąże się z dużym ryzykiem naruszenia praw lub wolności osób dotkniętych naruszeniem.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił (jako okoliczność łagodzącą) stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Na fakt zastosowania w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 RODO okoliczności.
Przede wszystkim wskazać jednak należy, że wdrożenie wewnętrznych polityk oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcie umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie jest w ocenie organu nadzorczego wystarczające. Prezes UODO ocenia bowiem zastosowanie odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.
Dodatkowo brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora danych odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, ponieważ zdolność do wykrywania naruszeń stanowi kluczowy element środków technicznych i organizacyjnych.
Zgłaszając naruszenia należy liczyć się z tym, że w celu kontroli przestrzegania prawa przez administratorów danych, w szczególności dla sprawdzenia, czy wypełniają oni obowiązki w procesie przetwarzania danych osobowych, Prezes UODO posiada uprawnienia do przeprowadzenia kontroli również w stosunku do tych podmiotów, z którymi prowadził korespondencję w sprawie naruszeń ochrony danych.
Nałożona administracyjna kara pieniężna spełni, zdaniem Prezesa UODO, funkcję represyjną, ale i prewencyjną, czyli zapobiegnie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Spółkę, jak i innych administratorów danych.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →