Decyzje UODO: sprawdź, za jakie naruszenia były nakładane kary

Prezentujemy wybrane decyzje prezesa Urzędu Ochrony Danych Osobowych, które zostały wydane w ostatnim czasie. Ich analiza z pewnością pomoże w wyciągnięciu konstruktywnych wniosków oraz we wprowadzeniu zmian w wielu organizacjach

Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO), który jest organem właściwym w sprawie ochrony danych osobowych, może – jako organ nadzorczy – udzielać upomnień, ostrzeżeń i nakazów oraz nakładać administracyjne kary pieniężne. Reakcja PUODO powinna uwzględniać m.in.: charakter i wagę czynu, liczbę poszkodowanych osób, rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie, oraz rodzaj działań podjętych w celu zminimalizowania szkody. Przy czym prawodawca unijny wprowadził w RODO dwa maksymalne progi kar pieniężnych, tj.:

• do 10 mln euro,
• a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) oraz ich dwukrotność w przypadku ciężkich naruszeń.

Poniżej prezentujemy wnioski wynikające z wybranych decyzji PUODO wydanych w ostatnim czasie wraz z ich omówieniem. Ich analiza z pewnością pomoże w wyciągnięciu konstruktywnych wniosków oraz we wprowadzeniu zmian w wielu organizacjach.

niewłaściwe zabezpieczenia

Każdy podmiot, który przetwarza dane, zarówno administrator (podmiot decydujący o celach i środkach przetwarzania danych osobowych), jak i procesor (przetwarza dane osobowe w imieniu administratora), powinni wdrożyć właściwe środki, by zapewnić bezpieczeństwo przetwarzanym danym.

▶ Zgubienie nośnika pamięci

Zacznijmy od sytuacji, która pozwoli na uświadomienie sobie, jakie środki należy stosować, by właściwie zabezpieczyć dane. Otóż w jednym z sądów doszło do zgubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego – oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych urządzeniach znajdowały się projekty orzeczeń wraz z uzasadnieniami z okresu prawie szesnastu lat. W wyniku incydentu naruszono poufność przetwarzanych danych. W toku prowadzonych przez organ nadzorczy czynności ustalono, że sąd wdrożył stosowne procedury. Wynikał z nich zakaz użytkowania prywatnych nośników danych, jednakże administrator nie prowadził nadzoru nad tym, czy pracownicy stosują się do wewnętrznych polityk. Czy instrukcje oraz szkolenia można uznać w tym przypadku za wystarczające zabezpieczenia? PUODO stwierdził, że nie. Jego zdaniem sam zakaz połączony z instruktażem nie stanowią adekwatnych środków w zakresie minimalizacji ryzyka, zwłaszcza biorąc pod uwagę zakres i charakter danych przetwarzanych przez pracowników sądu. Jego zdaniem tego typu rozwiązania organizacyjne nie mogą zastąpić technicznych zabezpieczeń. PUODO podkreślił, że środki techniczne oraz organizacyjne powinny się uzupełniać. Tak więc w opisanej sprawie sąd powinien wdrożyć obok istniejących rozwiązań organizacyjnych (tj. procedur opisujących sposób korzystania z nośników pamięci oraz szkoleń) odpowiednie mechanizmy techniczne, np. blokadę portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. PUODO stwierdził, że sąd nie wdrożył odpowiednich zabezpieczeń dostosowanych do ryzyka przetwarzania danych przy użyciu zewnętrznych nośników. W efekcie ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem przechowywanych na nich informacji była zdecydowania zbyt niska. Z tego powodu sąd został ukarany karą pieniężną w wysokości 10 000 zł (decyzja PUODO z 13 lipca 2021 r., znak sprawy: DKN.5131.22.2021).