21 gru Nowe kary Prezesa UODO – jakie wnioski wyciągną z nich administratorzy?
Samo spisanie zasad przetwarzania danych w formie procedur i polityk to za mało – muszą one zostać wdrożone i realnie funkcjonować. Niestosowanie się do tych zaleceń może rodzić poważne konsekwencje. Niedawno dotkliwie przekonały się o tym dwa podmioty, na które Prezes UODO nałożył kary pieniężne: wójt jednej z gmin[1] oraz duży dostawca usług telekomunikacyjnych[2]. W artykule analizujemy te sytuacje i wyciągamy wnioski dla administratorów danych osobowych.
Kara Prezesa UODO dla wójta gminy – case study
Początek tej sprawie dało naruszenie danych osobowych, które polegało na włamaniu do mieszkania jednego z pracowników urzędu gminy i kradzieży służbowego laptopa wraz ze znajdującymi się w nim dokumentami zawierającymi dane osobowe.
Administrator wskazywał, że:
- regularnie przeprowadzana jest analiza ryzyka, w której uwzględnia się zagrożenie w postaci kradzieży urządzeń służbowych,
- wprowadzony został regulamin użytkowania komputerów przenośnych,
- obowiązują reguły dotyczące złożoności haseł oraz ich okresowej zmiany,
- pracownik posiadał kopię zapasową skradzionych danych,
- urządzenia przenośne są poddane dodatkowym zabezpieczeniom w postaci szyfrowania dysków twardych.
W toku postępowania okazało się jednak, że dysk skradzionego laptopa nie został zaszyfrowany, a jedynym zabezpieczeniem było hasło. Choć skradziony laptop został odnaleziony, a po wystąpieniu powyższego incydentu dyski wszystkich urządzeń służbowych faktycznie zostały zaszyfrowane, Prezes UODO zdecydował o nałożeniu kary pieniężnej. Dlaczego?
Stanowisko PUODO
W ocenie Prezesa UODO administrator jedynie częściowo wykonał obowiązki wynikające z przepisów RODO. Organ pozytywnie ocenił następujące działania:
- przeprowadzenie analizy ryzyka, w której uwzględniono zagrożenie w postaci kradzieży przenośnych komputerów i uznanie go za nieakceptowalne,
- przygotowanie regulaminu korzystania z urządzeń służbowych, w którym przewidziano środek zabezpieczający – szyfrowanie dysków twardych komputerów.
Prezes UODO zarzucił administratorowi, że pomimo świadomości możliwych ryzyk i wprowadzenia procedur mających minimalizować ich wystąpienie, w praktyce nie były one stosowane, a dyski twarde komputerów przenośnych nie były szyfrowane. Brak podjęcia przez wójta działań zmierzających do wyeliminowania lub ograniczenia powyższego ryzyka doprowadził do naruszenia bezpieczeństwa ochrony danych osobowych.
Choć kara nałożona przez Prezesa UODO jest stosunkowo niewielka (8 tyś. zł), to jednak nie jej wysokość, a przesłanie płynące z wydanej decyzji powinno być najważniejsze dla praktyki administratorów danych.
Wnioski dla administratorów
Na administratorach spoczywa szereg obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych. Wydając decyzję, Prezes UODO zwrócił uwagę na następujące powinności:
- konieczność przeprowadzenia analizy ryzyka i zidentyfikowania możliwych zagrożeń,
- prawidłowa ocena poziomu zidentyfikowanych ryzyk,
- przymus wdrożenia adekwatnych do zidentyfikowanych ryzyk środków, mających służyć zniwelowaniu lub ograniczeniu zagrożeń,
- okresowa ocena, aktualizacja oraz dostosowanie wprowadzonych środków bezpieczeństwa.
Najważniejsza lekcja wynikająca z omawianej decyzji jest jednak następująca: procedury trzeba nie tylko wdrożyć, ale przede wszystkim stosować. Dlatego tak ważne jest, aby środki mające służyć zabezpieczeniu danych osobowych faktycznie funkcjonowały. W przeciwnym razie administrator może spotkać się z negatywnymi konsekwencjami, w tym karami finansowymi.
Kara PUODO dla dostawcy usług telekomunikacyjnych – case study
Kolejny podmiot ukarany ostatnio przez UODO to duży dostawca usług telekomunikacyjnych, który o znaczeniu procedur ochrony danych osobowych przekonał się już dwukrotnie. Niestety w obu przypadkach przyczyną kar były własne, powtarzalne błędy.
Prezes UODO prowadził wobec tej spółki postępowanie dotyczące niezawiadomienia go o naruszeniach danych osobowych w terminie 24 godzin od ich wykrycia[3]. Zakończyło się ono nałożeniem kary pieniężnej. W ramach działań naprawczych spółka wprowadziła zmiany proceduralne w sposobie wysyłki zawiadomień. Wkrótce okazało się, że modyfikacje te były niewystarczające. Podmiot popełnił kolejny błąd, stwierdzając naruszenie bezpieczeństwa danych osobowych i nie informując o nim ani Prezesa UODO, ani osoby, której dotyczył incydent.
Tło naruszenia ochrony danych osobowych
Zdarzenie polegało na wysyłce umowy o świadczenie usług telekomunikacyjnych na adres e-mail podany oraz potwierdzony przez klienta, który jednak okazał się błędny. Zawierała ona dane mogące realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych, czyli: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, serię i numer dowodu osobistego oraz numer telefonu.
Wiadomość otrzymała osoba trzecia, która chciała zaalarmować spółkę. Ta jednak, mimo wskazania w stopce, że jeśli wiadomość została dostarczona do osoby nieuprawnionej to należy skontaktować się z nadawcą, wyłączyła możliwość wysyłki wiadomości zwrotnych. W związku z tym adresat poinformował Prezesa UODO.
Spółka dowiedziała się o zdarzeniu jednocześnie od klienta, którego dotyczył incydent oraz z pisma Prezesa UODO. Początkowo argumentowała, że nie doszło do naruszenia ochrony danych osobowych, dopiero później dokonała zgłoszenia tego faktu oraz poinformowała podmiot danych o zaistniałym incydencie.
Reakcja PUODO
Organ uznał działanie spółki za spóźnione, bo między datą wykrycia naruszenia a momentem zawiadomienia upłynęły prawie 2 miesiące, w trakcie których możliwe było bezprawne użycie danych osobowych klienta. W ocenie organu to właśnie czas naruszenia przemawiał za koniecznością nałożenia kary pieniężnej. Jednak to, że ostatecznie dokonano zawiadomień, wpłynęło łagodząco na jej wysokość.
Na niekorzyść spółki działało natomiast to, że zawiadomienie Prezesa UODO i osoby, której dane dotyczyły, miało miejsce nie w wyniku prawidłowego działania obowiązujących w spółce procedur, ale dopiero na skutek wszczęcia postępowania.
Wnioski dla administratorów
Jakie dodatkowe wnioski dla administratorów płyną z tej kary i stanowiska UODO?
- właściwa organizacja to klucz – zwrócono uwagę, że u administratora w nieprawidłowy sposób zorganizowano procedurę informowania o naruszeniach. Zaznaczono, że nie wystarczy samo istnienie spisanych procedur, niezbędne jest również ich rzeczywiste stosowanie;
- nie należy blokować kontaktu z administratorem i warto zweryfikować treść stopek mailowych. Administrator, wysyłając osobie nieuprawnionej powodującego naruszenie e-maila, nie wskazał odpowiednich procedur umożliwiających poinformowanie spółki o zaistniałym zdarzeniu (choć stopka sugerowała możliwość kontaktu);
- podmioty ukarane w przeszłości i co do których organ wcześniej prowadził postępowanie są niejako „na cenzurowanym”. Przy ustalaniu wymiaru kary organ brał pod uwagę dotychczasową działalność podmiotu, w tym poprzednie naruszenie. Pierwsza kara pieniężna nałożona na spółkę wyniosła 100 000 zł, aktualna już 250 000 zł.
Utopijna byłaby wizja świata, w którym naruszenia ochrony danych osobowych nie miałyby miejsca. W dzisiejszych czasach są one przecież nieuniknione. Ważne jest jednak to, jak administrator radził sobie z tym naruszeniami. Dlatego tak duży nacisk kładziemy na wdrożenie i stosowanie odpowiednich procedur. I nie mówimy tu tylko o sposobach reagowania w przypadku, gdy naruszenie już wystąpiło. Być może surowej kary udałoby się uniknąć, gdyby zostały wdrożone odpowiednie środki zapewniające bezpieczeństwo informacji.
Więcej o wyzwaniach i dobrych praktykach w obszarze bezpieczeństwa informacji powiemy już 11 stycznia 2023 roku podczas bezpłatnego webinarium. Więcej informacji znajduje się po kliknięciu w poniższy baner.
[1] https://www.uodo.gov.pl/decyzje/DKN.5131.8.2022
[2] https://www.uodo.gov.pl/decyzje/DKN.5131.18.2022
[3] W przypadku dostawców usług telekomunikacyjnych ma zastosowanie ten krótszy, a nie 72-godzinny termin na zawiadomienie.