Kara za niezgłoszenie naruszenia ochrony danych

Kara za niezgłoszenie naruszenia ochrony danych – przede wszystkim, tak należy odczytywać treść uzasadnienia do Decyzji Prezesa UODO z dnia 18 października 2023r., DKN.5131.55.2022. Jednak pamiętać należy, iż zdarzenie, jakie przyczyniło się do wszczęcia postępowania administracyjnego i nałożeniem kary pieniężnej w wysokości niebagatelnej kwoty 103.752, pln (słownie: sto trzy tysiące siedemset pięćdziesiąt dwa złote). polegało na przesłaniu email wraz wraz z załącznikiem zawierającym dane osobowe do nieuprawnionej osoby.

Kara w kwocie 103.752,00 zł

Błędnie zaadresowany i wysłany email ... do tego brak szyfrowania i brak reakcji na zdarzenie ... Prezes Urzędu Ochrony Danych Osobowych, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa), wydał 18 października 2023 r., Decyzję DKN.5131.55.2022 stwierdzającą naruszenie przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Na administratora danych osobowych nałożona została kara pieniężna wysokości 103.752,- PLN (słownie: sto trzy tysiące siedemset pięćdziesiąt dwa złote).

Adresat email poinformował UODO o błędnie skierowanym email ...

Prezes UODO od osoby trzeciej otrzymał informację wskazującą na udostępnienie tej osobie – jako osobie nieuprawnionej – potwierdzenia przyznania odszkodowania, które cyt.: „(…)ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu (…) przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa) (…)”. Jak wskazano w treści Decyzji w dokumencie załączonym do wiadomości email przekazanej nieuprawnionemu odbiorcy, znajdowały się także cyt.: „(…)dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto wskazano w nim: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia.(..)”. Powagi sprawie dodaje fakt, iż ustalono, że ww. osoba nieuprawniona podjęła działania ukierunkowane na poinformowanie ADO o zdarzeniu, zawiadomienie jednak pozostało bez odpowiedzi.

Uwaga: Nie znamy treści zawiadomienia, z jakim zwrócił się nieuprawniony odbiorca do ADO, nie mniej jednak, konkluzja o tym, iż pozostało ono bez odpowiedzi, może być swego rodzaju stanem faktycznym, jaki należy poddać analizie, na wypadek otrzymania podobnego zawiadomienia, od osoby trzeciej.

Prezes UODO w takim stanie rzeczy zwrócił się do ADO m.in. o wyjaśnienie, cyt.: „(…) czy wiedział o zaistnieniu ww. zdarzenia, a także czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.(…)”.

Jak czytamy w decyzji Prezes UODO w piśmie, z jakim wystąpił do ADO zawarł także informacje o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych.

Uwaga: Całkiem uczciwie należy podkreślić, iż warto jest brać pod uwagę treści zawarte w kierowanej przez UODO korespondencji.

ADO składał wyjaśnienia ...

ADO wyjaśnił iż miał wiedzę o zdarzeniu, ponadto fakt jego wystąpienia odnotował w rejestrze, wskazał, iż przyczyną jego wystąpienia był błąd ludzki, polegający na omyłkowym załączeniu dokumenty do korespondencji. ADO wyjaśnił, także że przeprowadził analizę ryzyka wiążącego się z zaistniałym zdarzeniem, a także że cyt.: „(…)Wykonując podobne analizy Spółka opiera się na rekomendowanej na stronie internetowej Urzędu Ochrony Danych Osobowych metodologii ENISA, badając w szczególności zakres i kontekst przetwarzania danych, łatwość identyfikacji osoby, której dane dotyczą oraz okoliczności naruszenia, mające dodatkowy wpływ na powagę (dotkliwość) naruszenia. Pod uwagę był brany również fakt, że osoba która otrzymała nieadresowaną do siebie korespondencję poinformowała o tym fakcie administratora. Przy wykonaniu analizy, Spółka posiłkowo posługiwała się udostępnionym na stronie (…) darmowym narzędziem do oceny wagi naruszenia opartym o wskazaną wyżej metodologię ENISA (…)”.

ADO stwierdził, iż cyt.: „(…) Uzyskany w przedmiotowym przypadku wynik wskazujący niskie ryzyko dla praw i wolności osoby, której dane dotyczą został następnie standardowo poddany weryfikacji w zespole Inspektora Ochrony Danych LINK4. Wobec wyniku przeprowadzonej i zweryfikowanej analizy, administrator zdecydował o odnotowaniu incydentu, a z uwagi na stwierdzone niskie ryzyko dla praw i wolności osoby, której dane dotyczą nie zakwalifikował zdarzenia jako naruszenia wymagającego powiadomienia Prezesa UODO oraz indywidualnego zawiadomienia osoby, której dane dotyczą (…)” dalej „(…) ocena ryzyka jako niskiego pozwoliła na niezgłaszanie naruszenia, ponieważ zakres danych jednoznacznie wskazywał na brak możliwości wystąpienia rzeczywistych negatywnych konsekwencji dla osoby, której dane dotyczą. Również szeroko rozpatrywane okoliczności naruszenia w żaden sposób nie skłoniły administratora do podwyższenia poziomu naruszenia do wymagającego zgłoszenia. Tym samym uznając ryzyko za niskie i nie widząc uzasadnienia do podwyższenia tego poziomu, administrator poprzestał na odnotowaniu zdarzenia w rejestrze incydentów (…)”.

UODO wszczął postępowanie administracyjne ...

W takim stanie rzeczy, czyli wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, Prezes UODO wszczął z urzędu wobec ADO postępowanie administracyjne w tym przedmiocie (sygn. pisma: DKN.5131.55.2022).

Prawidłowe prowadzenie rejestrów i rozliczalność działań...

Prezes UODO w publikacji pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” (udostępnionej na stronie: https://archiwum.uodo.gov.pl/pl/134/1029) wyjaśnia: „W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń”. Innymi słowy mówiąc, cyt.: „(…)Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.(…)”.

Uwaga: Należy mieć na uwadze to, iż UODO może zwracać się o uzasadnienie decyzji o niezgłaszaniu naruszenia, z tego względu wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Analizy dokonywane przez pryzmat osoby, której dane dotyczą, a nie administratora ...

UODO wprost podkreśla, iż dokonywana ocena ryzyka naruszenia praw lub wolności osoby fizycznej powinno być realizowana przez pryzmat osoby, której dane dotyczą, a nie przez pryzmat interesów administratora, ja dokonującego. Ponadto UODO podkreśla, iż brak zgłoszenia pozbawia UODO możliwości odpowiedniej reakcji, reakcji jaka przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Uwaga: Realizując proces oceny zdarzenia, warto mieć na uwadze to co podkreśla UODO, w ww. wypowiedzi, iż dokonywanie analiz, zdaje się bez względu na zastosowane do tego rozwiązania i narzędzia, powinno być dokonywane przede wszystkim przez pryzmat osoby, której dane dotyczą, a nie przez pryzmat analizującego administratora.

Zgłaszanie naruszeń, prowadzi do refleksji administratora ...

W treści Decyzji czytamy, iż cyt.: „(…)w analizowanym stanie faktycznym zgłoszenie przez Spółkę naruszenia ochrony danych osobowych Podmiotu Danych wraz ze wskazaniem okoliczności jego zaistnienia – w sytuacji konieczności wskazania przy tym środków, które pozwoliłyby zminimalizować ryzyko wystąpienia podobnych naruszeń w przyszłości – mogłoby ją skłonić do refleksji dotyczącej np. konieczności zabezpieczania danych przesyłanych w formie wiadomości e-mail (przykładowo poprzez ustawianie hasła dla przesyłanych plików, udostępnianego innym kanałem komunikacji).(…)”.

Uwaga: UODO zdaje się również wskazywać na to, że wnikliwe analizowanie zdarzeń a w konsekwencji rzetelne przygotowywanie zgłoszeń de facto zmusza do refleksji na temat stosowanych rozwiązań, co może mieć wpływ na minimalizację ryzyka występowania podobnych zdarzeń w przyszłości.

IOD na świadka ...

Administrator podjął także decyzję o zgłoszeniu swojego Inspektora Ochrony Danych Spółki, jako źródła dowodowego w sprawie, jednak UODO uznał, że cyt.: „(…) ze względu na obszerność i wyczerpujący charakter wyjaśnień dotyczących okoliczności opisanych przez Spółkę w piśmie z dnia 5 grudnia 2022 r. nie zachodzi taka potrzeba.(…)”.

Uwaga: Inspektor Ochrony Danych, powołany został jako świadek w sprawie, przez administratora.

Wyniki ocen mogą prowadzić do wątpliwości co do poziomu ryzyka ...

cyt.: „(…) dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za większą niż niska. Jednocześnie prawdopodobieństwo wystąpienia ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi.(…)”.

Uwaga: Konkluzją niech będzie wniosek, jaki mamy zawarty w treści Decyzji, iż w sytuacji wystąpienia jakichkolwiek wątpliwości administrator danych osobowych powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Wyniki ocen mogą prowadzić do wątpliwości co do poziomu ryzyka ...

cyt.: „(…) w związku z zaistnieniem naruszenia ochrony danych osobowych, nie wystąpiły czynniki obniżające poziom prawdopodobieństwa negatywnych skutków, jak ograniczona możliwość identyfikacji, stwierdzenie, że dane osobowe są publicznie dostępne, czy uznanie niewłaściwego odbiorcy (co najmniej w zakresie w jakim odbiorcą tym jest inna osoba niż likwidator szkody) za osobę „zaufaną”(…)” dalej cyt.: „(…) przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo to jest w sposób oczywisty małe.(…)”.

Uwaga: Istnieją określone czynniki, jakie obniżają prawdopodobieństwo negatywnych skutków, jak ograniczona możliwość identyfikacji np. szyfrowanie, stwierdzenie że dane osobowe są publicznie dostępne, czy możliwość uznania nieuprawnionego odbiorcy, jako osoby zaufanej. Bez względu jednak na powyższe należy traktować te sytuacje jako wyjątkowe.

Regulamin korzystania z poczty email ...

Instukcja korzystania z poczty elektronicznej ... Instrukcja opisująca szczegółowo zasady, jakie obowiązują personel, przy korzystaniu w pracy ze służbowej poczty elektronicznej. Dokument opisujący prawidłowe praktyki działania, jak również wskazujący na nieodpowiednie zachowania. Uporządkowanie procedury związanej z korzystaniem z email jest koniecznością. Nieodpowiedzialne posługiwanie się email doprowadzić może do dramatycznych skutków nie tylko biznesowych.

Przykłady konsekwencji naruszenia i środków zaradczych pomocne przy sporządzaniu zgłoszenia lub zawiadomienia podmiotu danych

Pomocna dokumentacja przy sporządzaniu zawiadomień Wielu ADO / IOD boryka się z problemami, jakiego rodzaju konsekwencje mogą stanowić następstwo wystąpienia zdarzenia będącego naruszeniem ochrony danych osobowych, bądź jakiego rodzaju środki zaradcze, majace na celu zaradzenie naruszeniu, bądź zminimalizowaniu skutków naruszenia, należy zawrzeć w zawiadomieniu, kierowanym do Urzędu Ochrony Danych osobowych, bądź do podmiotu danych, którego dane dotyczą. Przygotowaliśmy wykaz zawierający zarówno konsekwencje naruszeń z odniesieniem do kategorii danych, jak i wyka proponowanych środków zaradczych. Wykaz powstał na bazie rzeczywistych stanów faktycznych. Wykaz pełni rolę pomocniczego, co oznacza, iż można nim się posiłkować tworząc własne zawiadomienia do UODO czy do podmiotu danych.

Materiały źródłowe ...

Decyzja Prezesa UODO z dnia 18 października 2023r., DKN.5131.55.2022.[Dostęp dnia: 8 grudnia 203r., godz.: 11:30]

Autor opracowania

mgr Dominik Spałek Inspektor ochrony danych, założyciel portalu www.prostetorodo.pl Absolwent Wydziału Prawa i Administracji Uniwersytetu Łódzkiego. Członek Zespołu merytorycznego Proste to RODO. Ekspert z wieloletnim doświadczeniem w obsłudze podmiotów medycznych w zakresie prawa pracy, zbiorowego prawa pracy oraz ochrony danych osobowych. Dominik Spałek, jako praktyk, realizuje zadania jako Inspektor Ochrony Danych w podmiotach wykonujących działalność leczniczą w Częstochowie i nie tylko. Wspiera administratorów danych osobowych w realizacji ich obowiązków w zakresie przede wszystkich ochrony danych medycznych, w tym danych osobowych. Dominik Spałek, jako praktyk od lat przygotowuje dokumentację z zakresu prawa pracy, zbiorowego prawa pracy. Wieloletnie doświadczenie w pracy w centrali związkowej, zaowocowało licznymi publikacjami tematycznymi z zakresu prawa pracy na łamach tygodników prasowych, jak również w formie audycji radiowych. Fakt uczestnictwa w zespołach roboczych, jak i negocjacyjnych, przełożył się na jego udział w tworzeniu zapisów zakładowych / ponadzakładowych układów zbiorowych pracy m.in. dla sektora medycznego oraz pomocy społecznej.

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Kara za niezgłoszenie naruszenia ochrony danych