Prezes Urzędu Ochrony Danych Osobowych w najnowszej decyzji, w której nałożył na Cyfrowy Polsat S.A. karę w wysokości ponad 1,1 mln złotych wskazał, że w przypadku licznych naruszeń danych osobowych, które są spowodowane tymi samymi czynnikami należy wdrożyć odpowiednie środki techniczne i organizacyjne mające na celu ich wykluczenie.

Istotna ocena skuteczności środków technicznych i organizacyjnych zapewniająca bezpieczeństwo przetwarzania danych osobowych

Jak wskazano w decyzji, spółka wielokrotnie zgłaszała Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów.

W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie.

Istotne informowanie o naruszeniu danych bez zbędnej zwłoki osoby, której ono dotyczy

Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących łącznie imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz innych kategorii danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat), powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą, o naruszeniu jej danych osobowych. Naruszenia ochrony danych osobowych wynikające ze współpracy Spółki z podmiotem świadczącym usługi kurierskie powodowały wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Spółka jako administrator zobowiązana była bez zbędnej zwłoki zawiadamiać osoby, których dane dotyczą, o tych naruszeniach.  Jak wskazał Prezes UODO, Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań. Prezes UODO w decyzji stwierdził, że nawet jeżeli Spółka obciążyłaby podmiot przetwarzający z tytułu nieterminowego raportowania naruszeń ochrony danych osobowych, to zgromadzony materiał dowodowy jednoznacznie wskazuje na brak dostatecznego nadzoru w tym zakresie.

Zgodnie z Wytycznymi, „RODO stanowi, że osoby fizyczne należy poinformować o naruszeniu „bez zbędnej zwłoki” – tj. najszybciej, jak to możliwe. Zawiadomienie osób fizycznych ma na celu przede wszystkim dostarczenie im szczegółowych informacji na temat działań zapobiegawczych, które powinny podjąć. W zależności od charakteru naruszenia i powstałego ryzyka, szybkie zawiadomienie pozwoli osobom fizycznym podjąć działania, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia”. Istotność niezwłocznego reagowania na naruszenia podkreślana jest zarówno w Wytycznych, jak i w wydanym przez Prezesa UODO dokumencie Obowiązki administratorów związane z naruszeniami ochrony danych osobowych.

Istotne stałe monitorowanie zabezpieczeń i podjęcie działań mających na celu zminimalizowanie skali naruszeń ochrony danych osobowych

Jak wskazał Prezes Urzędu Ochrony Danych Osobowych możliwe było podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń, jak również szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, nawet pomimo okresu pandemii. Mechanizmy te wdrożone zostały jednak po wszczęciu postępowania administracyjnego oraz po uprzednim przedstawieniu własnych analiz wykonanych przez Prezesa UODO. Potwierdza to jednocześnie brak stosowania przez Spółkę przed wszczęciem postępowania administracyjnego odpowiednich środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych i szybką identyfikację naruszeń ochrony danych osobowych, a w konsekwencji naruszenie w tym zakresie wyżej przywołanych przepisów rozporządzenia 2016/679.

Jednocześnie Prezes UODO zgodził z wyjaśnieniami Spółki, że naruszenia tego typu powstają głównie z powodu błędów ludzkich i nie jest możliwe wyeliminowanie ich w 100% poprzez wdrożenie jakichkolwiek dodatkowych środków organizacyjnych lub technicznych, niemniej zgromadzony w toku postępowania materiał dowodowy wskazuje, co należy po raz kolejny podkreślić, że Spółka nie sprawowała odpowiedniego nadzoru w obszarze przetwarzania danych osobowych zawartych w dokumentach przesyłanych za pośrednictwem podmiotów świadczących usługi kurierskie, z uwagi na brak wdrożenia odpowiednich środków w celu szybkiego identyfikowania naruszeń ochrony danych osobowych, jak również zminimalizowania ich skali.