25 maja 2021 r. mijają 3 lata od kiedy należy stosować przepisy zawarte w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W tym czasie organy nadzorcze wykazały się aktywnością, a ich orzeczenia pozwalają nam na poznanie przykładów „z życia wziętych”, w których administrator danych zareagował źle na wszczęte postępowanie, co w efekcie doprowadziło do poważnych dla niego konsekwencji. Opisane sytuacje mogą stanowić dobrą lekcję dla każdego, kto przetwarza dane osobowe, jak uniknąć niekorzystnego rozwoju wydarzeń, jeżeli już dojdzie do kontroli ze strony organu nadzorczego. Poniżej oprócz opisu rzeczywistych postępowań podano praktyczne wskazówki, jak reagować na podjęte wobec nas działanie organu nadzorczego oraz komunikować się z tym organem we właściwy sposób, aby zminimalizować potencjalne szkody.
Prezes Urzędu Ochrony Danych Osobowych – polski organ nadzorczy (PUODO) otrzymał informację o naruszeniu ochrony danych osobowych pochodzącą od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe właściwego adresata i kilkuset innych osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa (ENEA S.A.).
PUODO zwrócił się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło.
Ukarany podmiot wskazał, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia PUODO. Ponadto przedsiębiorstwo uznało, że ze względu na szybko podjęte działania, jak oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony, wyeliminowano możliwość zaistnienia w przyszłości negatywnych skutków tego zdarzenia dla osób, których dane dotyczą.
Z uwagi na brak zgłoszenia naruszenia ochrony danych osobowych, organ nadzorczy wszczął postępowanie wobec spółki, która mimo tego nadal nie zgłosiła naruszenia organowi nadzorczemu.
PUODO uznał, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej, a więc do naruszenia poufności danych. Z uwagi na fakt, że spółka nadal nie wykonała swojego obowiązku w zakresie zgłoszenia naruszenia, ani nie wyjaśniła przyczyn przekroczenia 72 godzinnego terminu na zgłoszenie, została wymierzona kara pieniężna w wysokości ponad 136 tys. zł.
Z podobną sprawą mieliśmy do czynienia w przypadku postępowania PUODO dotyczącego spółki TUiR WARTA S.A., prowadzonego również na skutek zawiadomienia osoby postronnej (nieuprawnionego odbiorcę wiadomości email wysłanej na nieprawidłowy adres przez agenta działającego jako procesor i zawierającej polisę z danymi innej osoby).
PUODO wpierw zwrócił się do Spółki o wyjaśnienie, czy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia PUODO oraz osób, których dotyczy naruszenie. W piśmie organ nadzorczy wskazał spółce, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień. Spółka mimo tak wyraźnych wskazówek stwierdziła, że doszło do incydentu związanego z naruszeniem ochrony danych osobowych jednak wykonana ocena ryzyka była podstawą uznania, iż naruszenie nie wymaga zawiadomienia PUODO, gdyż błędny adres wskazał sam klient Spółki, a ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.
Spółka nadal nie zgłosiła naruszenia oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął więc postępowanie administracyjne, w trakcie którego dopiero spółka zgłosiła naruszenie oraz zawiadomiła dwie osoby, których dotyczy naruszenie. PUODO uznał, że takie działanie spółki spowodowało, że czas trwania naruszenia był długi, a zawiadomienie nastąpiło z dużym opóźnieniem (pięć miesięcy).
Według PUODO fakt, iż do naruszenia doszło w wyniku błędu klienta (nawet nie samego administratora danych, ani jego procesora !), nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.
W ocenie PUODO również fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji nie może stanowić o tym, ze ryzyko dla praw i wolności osób, których dane dotyczą nie jest wysokie. Administrator nie może mieć pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.
PUODO nakładając administracyjną karę pieniężną wziął pod uwagę również okoliczności łagodzące jak fakt, że naruszenie dotyczyło danych osobowych tylko dwóch osób oraz, że spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji.
Czego możemy się nauczyć z powyższych przykładów:
– działania PUODO podejmowane są w różnych etapach: najpierw mogą być podjęte działania wyjaśniające, później formalna kontrola, która przechodzi we właściwe postępowanie administracyjne. Decyzja PUODO o przejściu do kolejnego takiego etapu daje jasną wskazówkę, że należy przyłożyć większą uwagę do sprawy, którą bada PUODO,
– PUODO może w toku postępowania dać nam wyraźne sygnały o tym, jakie potencjalnie chce zająć stanowisko. Warto zwracać uwagę na to, o co pyta organ i jakie kroki podejmuje w następstwie udzielonych mu odpowiedzi. Jeżeli pyta dalej lub przechodzi do kolejnych etapów postępowania, może to być znak, że z naszą komunikacją jest coś nie tak, a postępowanie zmierza w niekorzystnym kierunku),
– w przypadku opóźnienia w wykonaniu określonego zobowiązania zawsze trzeba pamiętać o podaniu informacji o przyczynie opóźnienia,
– pamiętaj, aby nie przesyłać danych osobowych bezpośrednio w treści wiadomości e-mail – zamiast tego rozważ dodanie zaszyfrowanego załącznika i przesłanie hasła do pliku innym kanałem komunikacji,
– nawet przypadkowe ujawnienie danych osobowych (albo takie, któremu winien jest sam podmiot tych danych) może stanowić naruszenie danych,
– w przypadku wystąpienia naruszenia należy podjąć kroki w celu usunięcia lub zmniejszenia jego skutków. Skontaktowanie się z nieuprawnionym odbiorcą jest często jednym z nielicznych działań, jakie administrator danych może podjąć w celu zminimalizowania ryzyka, jednak nawet uzyskanie potwierdzenia usunięcia błędnie dostarczonej wiadomości e-mail nie eliminuje całego ryzyka i obowiązku powiadomienia do PUODO,
– warto samemu dostarczyć PUODO dowody na to, że wdrożyliśmy środki, które miały zapobiec ryzyku, a w sytuacji jego zmaterializowania się podjęliśmy odpowiednie działania naprawcze.
Brak współpracy w trakcie kontroli
Spółka Smart Cities ukarana została karą pieniężną za brak współpracy z PUODO poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.
Do PUODO wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych osoby skarżącej przez Spółkę. PUODO zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy, w tym dotyczące tego, czy Spółka zawarła umowę powierzenia ze swoim wykonawcą. W odpowiedzi Spółka złożyła niepełne wyjaśnienia, więc PUODO zwrócił się o ich uzupełnienie, a także wezwał już do przedłożenia umów z konkretnym, nazwanym podmiotem. Na to pismo Spółka nie udzieliła odpowiedzi wcale.
Z uwagi na powyższe PUODO zdecydował o wszczęciu postępowania i wysłał pismo informujące o tym Spółkę oraz wzywające do podania dalszych informacji (m.in. koniecznych do wyliczenia kary), którego ona jednak nie odebrała.
PUODO uznał takie zachowanie za utrudnianie, a wręcz uniemożliwianie uzyskania dostępu do informacji, których żądał od Spółki, a które niewątpliwie są w jej posiadaniu, a także za rażące lekceważenie swoich obowiązków dotyczących współpracy z organem nadzoru w ramach wykonywania przez niego zadań. W efekcie nałożona została na Spółkę administracyjna kara pieniężna w wysokości ponad 12 tys. zł.
W innej sprawie PUODO zdecydował o konieczności przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju (GGK) na jego portalu internetowym danych osobowych właścicieli gruntów i budynków, o czym poinformował go pismem, w którym wskazał zakres kontroli oraz termin jej przeprowadzenia. W celu przeprowadzenia czynności kontrolnych, kontrolujący upoważnieni przez PUODO, okazali swoje legitymacje służbowe oraz przedłożyli upoważnienia imienne zawierające informację o zakresie kontroli. GGK nie dopuścił do przeprowadzenia czynności kontrolnych w pełnym zakresie twierdząc, że według jego oceny z zakresu wskazanego w upoważnieniach wynika, że kontrola ma dotyczyć numerów ksiąg wieczystych prowadzonych dla nieruchomości, które według niego nie stanowią danych osobowych w rozumieniu przepisów.
Ostatecznie GGK wyraził zgodę na przeprowadzenie czynności kontrolnych w pewnym (niepełnym) zakresie. Z powodu braku dostępu kontrolujących do systemów informatycznych używanych przez GGK, w toku kontroli nie ustalono, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. PUODO był w stanie ustalić jedynie jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został inspektor ochrony danych.
Z uwagi na brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie oraz wyrażony brak woli współpracy, kontrolujący nie mogli ustalić wszystkich okoliczności istotnych dla sprawy. Skutkowało to w efekcie nałożeniem administracyjnej kary pieniężnej w kwocie 100 tys. złotych.
Ponadto przed PUODO przeprowadzono osobne postępowanie w przedmiocie naruszenia polegającego na przetwarzaniu danych osobowych bez podstawy prawnej, które również zakończyło się nałożeniem administracyjnej kary pieniężnej na GGK w wysokości 100 tys. złotych.
Czego możemy się nauczyć z powyższych przykładów:
– brak odbierania oficjalnej korespondencji od PUODO nigdy nie jest dobrym pomysłem i nie uchroni nas przed możliwymi konsekwencjami,
– PUODO ma swoje uprawnienia kontrolne wynikające z przepisów, a niewykonywanie poleceń PUODO wydanych w ramach tych uprawnień ocenione może zostać jako naruszenie przepisów i skutkować nałożeniem kary administracyjnej,
– warto zweryfikować, czy mamy mocne podstawy, by kwestionować polecenia wydane przez PUODO, a nawet jak je mamy – wykonać polecenia w zakresie przez nas niekwestionowanym, a powstrzymać się tylko od tych nakazów, co do których mamy ugruntowane przekonanie o braku podstaw dla ich wydania,
– warto być pro-aktywnym i nawet jeżeli wykracza to poza zadane nam pytania, przedstawić własną ocenę sytuacji. Nasze stanowisko należy podać z uzasadnieniem i, o ile to możliwe, z dowodami na jego potwierdzenie naszego stanowiska,
– wymierzenie kary administracyjnej za brak współpracy przy kontroli nie zamyka sprawy – PUODO może nadal prowadzić postępowanie dotyczące meritum, nawet mimo braku współpracy ze strony kontrolowanego. W efekcie może zostać nałożona druga kara administracyjna.
Brak wykonania obowiązku nałożonego decyzją organu
Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia otrzymał karę za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.
PUODO nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących
zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił.
W konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały, a także nie znały możliwych konsekwencji takiego zdarzenia oraz nie wiedziały jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z uwagi na zignorowanie nakazu objętego decyzją administracyjną, PUODO zdecydował o wszczęciu z urzędu postępowania w sprawie nałożenia administracyjnej kary pieniężnej. PUODO również na etapie tego postępowania udzielał przedsiębiorcy szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności, co mogłoby pomóc uniknięciu kary, ale jednak nie spotkało się z właściwą reakcją ze strony przedsiębiorcy. PUODO ocenił takie działanie jako długotrwałe i umyślne naruszenie, świadczące o rażącym lekceważeniu przez przedsiębiorcę obowiązków związanych z ochroną danych osobowych. Skutkowało to nałożeniem kary pieniężnej w wysokości ponad 85 tys. zł.
Czego możemy się nauczyć z powyższego przykładu:
– PUODO ma szeroki wachlarz uprawnień, w tym do nakazania podjęcia określonego działania. Brak wykonania takich obowiązków nałożonych przez PUODO skutkować może nałożeniem kary pieniężnej,
– nie tylko samo naruszenie, ale i sposób reakcji na działania podejmowane przez PUODO jest istotne. Brak reakcji uznany może być za umyślne, a wręcz rażące lekceważenie obowiązków i nie pozostanie bez wpływu na wymiar kary.