Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem. Z powodu tych zaniedbań Prezes UODO nałożył na spółkę karę pieniężną w wysokości ponad 1,1 mln zł.
Zgubiona korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy – to naruszenia, które spółka często zgłaszała do Urzędu Ochrony Danych Osobowych. W dodatku przeprowadzona przez UODO analiza tych naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia.
W toku postępowania okazało się, że administrator zgłaszał naruszenia, gdy tylko informację o nich otrzymał od firmy kurierskiej, z którą miał podpisaną umowę. Z tym że zdaniem UODO, to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.
Brak wdrożonych odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia powodował, że osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Tymczasem zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.
(cyt. za www.uodo.gov.pl)
Komentarz:
W uzasadnieniu decyzji przedstawiono analizę terminu powiadomień osób, których dane objęte zostały incydentem. Wskazano, że nie odnotowano przypadków stwierdzenia przez Spółkę naruszenia w terminie do 7 dni od daty zdarzenia, które spowodowało naruszenie. Ustalono, że […] naruszeń zostało stwierdzonych w terminie powyżej 7 do 14 dni po dacie zdarzenia powodującego naruszenie, […] naruszeń zostało stwierdzonych w terminie powyżej 14 do 30 dni, […] naruszeń zostało stwierdzonych w terminie powyżej 30 do 60 dni. […] naruszenia zostały stwierdzone przez Spółkę w terminie powyżej 60 dni od daty zdarzenia powodującego naruszenie, co stanowi 60 % ogólnej liczby naruszeń ochrony danych osobowych zgłoszonych w poddanym analizie okresie.
Już samo powyższe potwierdza, że samo zgłoszenie incydentu do Prezesa UODO nie wypełnia wszystkich naszych obowiązków jako administratorów danych osobowych a może się stać się nawet przyczyną wszczęcia kontroli, zaś w takim przypadku z pewnością brana będzie pod uwagę terminowość w zgłaszaniu incydentu do UODO, jak również powiadamianie “poszkodowanych” osób fizycznych.
W uzasadnieniu decyzji Prezes UODO przypomniał, że z treści art. 32 ust. 1 rozporządzenia 2016/679 precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Ważne jest stanowisko Prezesa UODO związane z doręczaniem korespondencji. Spółka podniosła, że dokumentacja ta najczęściej wydawana jest osobom bliskim i w związku z tym wydanie takich dokumentów osobie, która zna te dane i mieszka z klientem w jednym gospodarstwie domowym, rodzi większe konsekwencje w zakresie prawa cywilnego [brak umocowania do podpisania umowy, a więc brak możliwości rozpoczęcia świadczenia usługi przez Spółkę], aniżeli rodzi ryzyko ewentualnych negatywnych następstw w sferze praw i wolności osoby, której dane dotyczą.
Wobec powyższego Prezes UODO wskazał, że zgodnie z Wytycznymi, w zależności od konkretnej sytuacji administrator może uznać przypadkowego odbiorcę, osobę trzecią za „zaufanego”, zaś fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca. To z kolei może jednak wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, w wyniku czego nie będzie już potrzeby powiadomienia organu nadzorczego lub osób fizycznych, na które to naruszenie wywiera wpływ. Oznacza to, że administrator powinien dokonać oceny indywidualnie dla każdego przypadku naruszenia. Spółka w swych wyjaśnieniach oparła swoją ocenę na ogólnych informacjach przekazanych przez podmiot świadczący usługi kurierskie, nie przedstawiając jednocześnie dowodów wykonanej przez siebie indywidualnej analizy w tym zakresie dla poszczególnych przypadków naruszeń ochrony danych osobowych tego typu.
Powyższe nie zamyka drogi do uznania, że domownik jest osobą zaufaną i doręczenie mu korespondencji nie stanowi przekazania danych osobie nieupoważnionej. Trudna do wdrożenia może się jednak okazać indywidualna ocena takiego przypadku. Wszystko zależy oczywiście od skali zjawiska (ilości takiej korespondencji). Wskazane stanowisko wskazuje na celowość zapewnienia aby doręczenia odbywały się co do zasady adresatom, co dotyczy przede wszystkim przypadków doręczenia przez pracowników administratora.
Prezes UODO podreślił, że dla oceny wysokiego ryzyka naruszenia praw lub wolności osób fizycznych związanego z naruszeniem ochrony danych osobowych nie ma znaczenia, czy to ryzyko się zmaterializuje, a fakt istnienia ryzyka. Przedstawiona przez Spółkę „szczegółowa analiza ryzyka” stanowiąca załączniki do jej wyjaśnień, to w rzeczywistości wydruki z kalkulatora wagi naruszeń ochrony danych osobowych udostępnianego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO nie ocenia w tym miejscu poprawności działania wskazanego kalkulatora, zaznaczając jednak, że za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń. Dokumenty te nie są opatrzone w datę wytworzenia, ani nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się Spółka dokonując oceny za pomocą wskazanego kalkulatora.
Narzędzie służące do oceny ryzyka powinny być zatem skonkretyzowane, wdrożone i nie powinny opierać się wyłącznie na przyjęciu tabeli – bez jej dostosowania poprzez opis lub legendę do specyfiki funkcjonowania administratora. Na zakończenie omawiania decyzji celowe jest wskazanie stanowiska UODO, zgodnie z którym przypadki zgłaszanych naruszeń ochrony danych osobowych związanych z nieprawidłowościami po stronie operatorów pocztowych nie należą do wyjątkowych w praktyce UODO, do wyjątków należą jednak sytuacje, w których administrator nie podejmuje natychmiastowych działań związanych z zaginięciem bądź nieprawidłowym doręczeniem nadanych przez siebie przesyłek zawierających dane osobowe klientów. Od odpowiedzialności za lody przesyłki nie zwalnia nas zlecenie tych czynności wyspecjalizowanej firmie czy nawet podpisanie umowy powierzenia przetwarzania danych osobowych. Zasady odpowiedzialności na gruncie RODO są zatem bardziej rygorystyczne od wynikających z ogólnych przepisów prawa cywilnego.
Piotr Piątak
radca prawny
