Telewizja Polsat została ukarana za słaby nadzór nad firmą kurierską doręczającą w jej imieniu przesyłki.
Sprawa trafiła do UODO, ponieważ medialna spółka regularnie zgłaszała do organu nadzorczego naruszenia polegające na zagubieniu korespondencji zawierającej dane osobowe lub dostarczaniu przesyłek do niewłaściwych adresatów. Cyfrowy Polsat niezwłocznie po otrzymaniu informacji o incydentach od firmy kurierskiej, zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o nich osoby, których dotyczyły.
Co ustalił w trakcie postępowania Prezes UODO?
Przeprowadzona przez UODO analiza wykazała, że medialna spółka zgłaszała naruszenia dopiero po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia. Tymczasem, to Cyfrowy Polsat jako administrator danych, powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym szybsze powiadamianie osób, których dotyczy dane zdarzenie.
Zauważmy, że opisane powyżej naruszenia związane były z nieprawidłowościami przy wykonywaniu usług doręczenia występującymi po stronie firmy kurierskiej działającej na rzecz ukaranej Spółki. Mimo, że zawiniła firma kurierska, organ nadzorczy ukarał wysoką karą pieniężną Polsat, wskazując, że zebrany w trakcie postępowania materiał dowodowy wykazał niewystarczający nadzór nad egzekwowaniem postanowień umownych, co doprowadziło do opóźnień w identyfikacji naruszeń.
„W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.”
Jakie znaczenie w omawianej sprawie miała umowa powierzenia przetwarzania danych osobowych oraz dokumentacja ochrony danych osobowych związana z notyfikacją naruszeń organowi nadzorczemu?
Ukarana Spółka składając Prezesowi UODO wyjaśnienia wskazała, że kwestie dotyczące powierzenia przetwarzania danych osobowych klientów Spółki, w tym odpowiedzialność firmy kurierskiej wobec Spółki, uregulowała w umowie z podmiotem świadczącym usługi kurierskie oraz przygotowano odpowiednie instrukcje dla kurierów.
W ocenie UODO „Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.” (vide: uzasadnienie decyzji o nałożeniu kary pieniężnej).
Według UODO, ukarana Spółka z chwilą otrzymania pierwszych komunikatach od firmy kurierskiej
o nieprawidłowościach powinna podjąć skuteczniejsze działania w celu zmniejszenia skali naruszeń, co pozwoliłoby na szybszą identyfikację samych incydentów i terminowe powiadamianie o nich uprawnionych podmiotów oraz organu nadzorczego. Jak wynika z komunikatu dostępnego na stronie organu, dopiero w toku postępowania przed organem nadzorczym prowadziła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę uległ znacznemu skróceniu. Zdaniem UODO szybsze identyfikowanie naruszeń, a co za tym idzie, zawiadamianie osób, których dane dotyczą, umożliwiłoby tym osobom podjęcie odpowiednich działań mających na celu zminimalizowanie negatywnych skutków tych naruszeń. Tymczasem, osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych osobowych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań zabezpieczających, które ograniczyłyby takie niebezpieczeństwo. Z ustaleń UODO wynika, że zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.
Jakie cenne wskazówki płyną z treści uzasadnienia decyzji, w szczególności w zakresie identyfikacji naruszeń popełnionych przez firmę świadczącą, na rzecz naszego przedsiębiorstwa, usługi kurierskie:
CHECKLISTA ZGŁOSZENIE INCYDENTU DO URZĘDU OCHRONY DANYCH OSOBOWYCH ZGODNIE Z RODO
- Zgłaszamy każde naruszenie, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych,
- Zgłaszamy incydent do UODO,
- Zgłoszenie powinno zawierać: a) opis naruszenia ochrony danych osobowych, w tym w miarę możliwości podaj informacje dotyczące kategorii i orientacyjną liczbę osób, których dane osobowe mogły zostać bezprawnie ujawnione, b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub pełnomocnika, c) opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych, d) opis środków, które administrator danych zastosuje lub planuje zastosować przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym zminimalizowania jego negatywnych skutków.
- Termin dokonania zgłoszenia: a) bez zbędnej zwłoki od stwierdzenia naruszenia, b) 72 godziny od stwierdzenia naruszenia, c) 72 godziny po stwierdzeniu naruszenia wraz z wyjaśnieniem przyczyn opóźnienia.
- Sposób dokonania zgłoszenia: a) elektroniczny formularz dostępny na stronie UODO, b) samodzielnie sporządzone zawiadomienie.
- Zawiadamiamy osoby fizyczne o naruszeniu ich danych osobowych bez zbędnej zwłoki.
- Pamiętaj, że obowiązkiem administratora danych jest korzystanie z usług takich podmiotów przetwarzających (np. biuro rachunkowo-księgowe, firma świadcząca usługi IT), którzy gwarantują fachową wiedzę, profesjonalizm, ale także wdrożą środki techniczne i organizacyjne odpowiadające wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania: a) podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, b) podmiot przetwarzający zgłasza naruszenie administratorowi danych, bez zbędnej zwłoki.
Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia RODO powstałe w związku ze „zbyt późnym identyfikowaniem naruszeń narażających klientów na niebezpieczeństwo związane z utratą ochrony danych osobowych” (vide: uzasadnienie decyzji o nałożeniu kary pieniężnej). Nałożona przez Prezesa Urzędu Ochrony Danych Osobowych kara pieniężna wynosiła 1 136 975 zł.
Więcej:
Pełna treść decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020