In the current edition of Magazyn ODO Ochrona Danych Osobowych edited in January 2021, an article by Aneta Posytek was published “The most interesting cases of personal data infringement in Poland and Europe”.
Od czasu wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znanego jako „RODO”, kary finansowe za naruszenie ochrony danych osobowych stały się faktem.
Wybrane decyzje wydane przez Prezesa Urzędu Ochrony Danych Osobowych
Pierwsza decyzja, na mocy której w 2019 r. Prezes Urzędu Danych Osobowych nałożył karę finansową, dotyczyła spółki Bisnode Polska. Spółka nie spełniła obowiązku informacyjnego wynikającego z art. 14 RODO. Brak spełnienia tego obowiązku dotyczył przedsiębiorców prowadzących działalność gospodarczą lub tych, którzy tę działalność zawiesili, a także tych, którzy działalności gospodarczej nie prowadzą, ale prowadzili ją w przeszłości, do których Spółka nie posiadała adresu e-mail w swojej bazie danych.
Dane osobowe pochodziły ze źródeł publicznie dostępnych, w tym m.in. rejestru przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego. Spółka spełniła obowiązek informacyjny jedynie w odniesieniu do osób, których posiadała adresy e-mail. Natomiast w odniesieniu do pozostałych osób, których adresu e-mail Spółka w swojej bazie danych nie posiadała, podjęła decyzję o nierealizowaniu obowiązku informacyjnego, chociażby nawet przez wysłanie krótkich wiadomości tekstowych (SMS). Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza. W ocenie Spółki realizacja obowiązku informacyjnego w formie indywidualnego kontaktu z każdą osobą, której dane dotyczą, powodowałaby po jej stronie „niewspółmierny wysiłek”, wskazany w art. 14.5.b RODO, rozumiany przez Spółkę jako obciążenie organizacyjne oraz finansowe. Zdaniem Spółki takie obciążenie w krytyczny sposób zakłóciłoby jej funkcjonowanie w Polsce. Bisnode Polska zamieściła wyłącznie klauzulę informacyjną odpowiadającą wymogom art. 14.1 i 2 RODO na swojej stronie internetowej, co według organu nie było jednak wystarczające.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych spełnienie obowiązku informacyjnego wynikającego z art. 14 RODO pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie było czynnością „niemożliwą” oraz nie wymagało „niewspółmiernie dużego wysiłku”, w sytuacji, w której Spółka posiadała w bazie systemu informatycznego dane adresowe, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także numery telefonów do części tych osób. Prezes Urzędu Ochrony Danych Osobowych nałożył na Spółkę karę pieniężną w wysokości 943.470,00 PLN.
Z kolei najwyższa dotychczas kara finansowa w Polsce, w wysokości 2.830.410,00 PLN, została nałożona na spółkę Morele.net, prowadzącą kilka sklepów internetowych. Spółka, jako administrator danych, naruszyła zasadę poufności danych (art. 5.1.f RODO), nie zapewniła bowiem bezpieczeństwa i poufności przetwarzanych danych, co spowodowało, że dostęp do danych osobowych jej klientów uzyskały osoby nieuprawnione. Spółka nie zastosowała odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, co skutkowało dostępem do bazy danych klientów Spółki w łącznej liczbie około 2.200.000 osób, które dokonały rejestracji w poszczególnych sklepach internetowych, podając swoje imię i nazwisko, adres e-mail, numer telefonu oraz adres do doręczeń. Wydana przez Prezesa Urzędu Ochrony Danych Osobowych decyzja omawia szczegółowo zagadnienie technicznego zabezpieczenia danych osobowych. PUODO podkreślił, jak istotne jest monitorowanie poziomu bezpieczeństwa danych oraz wskazał przykładowe zasady, które powinny być brane pod uwagę przy wdrażaniu przez administratorów środków bezpieczeństwa, które powinny być adekwatne do ryzyka. Kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z podstawowych elementów bezpieczeństwa. Zgodnie z art. 32.1 RODO, czynnikiem, który należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest
stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, standardy ENISA, OWASP, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych. Natomiast Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, opracowała listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania tym zagrożeniom. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń.
Za nieprawidłową realizację praw osób, których dane osobowe dotyczą oraz przetwarzanie danych osobowych bez podstawy prawnej organ ochrony danych ukarał z kolei spółkę ClickQuickNow karą finansową w wysokości 201.559,50 PLN. W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka nie opracowała i nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które powodowałyby, że osoba, której dane dotyczą otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej informacje na temat możliwości skutecznego wycofania (odwołania) drogą elektroniczną zgody na przetwarzanie danych osobowych (art. 7.3 oraz art. 12.1 RODO), w efekcie czego osoba, której dane dotyczą nie może skutecznie skorzystać ze swojego prawa do wycofania (odwołania) w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym (art. 17.1.b. RODO). Spółka naruszyła zasady przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie sprzecznych komunikatów, co skutkowało wprowadzeniem w błąd osoby odwołującej (art. 5.1.a RODO).
Kolejna decyzja, na mocy której nałożono karę finansową, dotyczy Dolnośląskiego Związku Piłki Nożnej. Nałożona kara w wysokości 55.750,50 PLN, dotyczyła opublikowania na stronie internetowej, bez podstawy prawnej (art. 6 RODO) danych osobowych sędziów, którym przyznano licencje sędziowskie. Opublikowane dane obejmowały imiona i nazwiska, adresy oraz numery PESEL sędziów. Prezes Urzędu Ochrony Danych Osobowych uznał, że naruszenie ma znaczną wagę i poważny charakter, albowiem stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie, oraz narusza również podstawową, w odniesieniu do przetwarzania danych osobowych, zasadę integralności i poufności. Dolnośląski Związek Piłki Nożnej nie zastosował skutecznych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej, przez co dane osób, którym przyznano licencje sędziowskie były dostępne na stronie w okresie od 2018 r. do 2019 r.
Kolejną karę, w kwocie 15.000 zł, otrzymała Spółka East Power za celowe utrudnianie przebiegu postępowania oraz brak współpracy z organem nadzorczym. Decyzja w niniejszej sprawie dotyczyła skargi, jaka została wniesiona w związku z przetwarzaniem przez Spółkę danych osobowych w celach marketingowych, pomimo zgłoszonego przez skarżącego sprzeciwu. W toku postępowania, Spółka utrudniała dostęp do żądanych przez Prezesa Urzędu Ochrony Danych Osobowych informacji, co spowodowało utrudnienie i nieuzasadnione przedłużenie prowadzonego przez organ postępowania. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, działania Spółki można było uznać za godzące w cały system ochrony danych osobowych i z tego względu mające szczególnie naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że nie było to zdarzenie jednorazowe i incydentalne ze strony Spółki.
Niewiele wyższą karę, bo 20.000 PLN, nałożono na spółkę Vis Consulting, która nie zapewniła dostępu do danych osobowych oraz uniemożliwiła Organowi przeprowadzenie czynności kontrolnych. Prezes Urzędu Ochrony Danych Osobowych zaplanował przeprowadzenie kontroli w Spółce w związku z ustaleniami, jakie zostały dokonane w toku kontroli przeprowadzonej w innym podmiocie, który prowadził działalność telemarketingową i w związku z tą działalnością przetwarzał dane osobowe (numery telefonów stacjonarnych i komórkowych) za pomocą systemu teleinformatycznego dostarczonego przez Spółkę. Przedmiotowy system użytkowany był na podstawie umowy o współpracy w zakresie outsourcingu usług telemarketingowych. Co istotne kontrolowany podmiot nie posiadał własnej bazy danych, a wszystkie połączenia telefoniczne generowane były wyłącznie przez system informatyczny udostępniony przez Spółkę. Z treści umowy outsourcingu wynikało m.in., że Spółka posiada system teleinformatyczny w formie programu komputerowego, którego użycie pozwala na wykonywanie połączeń telefonicznych na numery telefonów stacjonarnych i komórkowych według kryterium lokalizacji. Ponadto, funkcjonalność przedmiotowego systemu uniemożliwiało kontrolowanemu podmiotowi dostęp do jakichkolwiek informacji, w tym do wybieranego numeru telefonu. Z uwagi na fakt, że podmiot kontrolowany nie posiadał dostępu do danych osobowych przetwarzanych w tym systemie (tj. do informacji o wybieranych numerach telefonów), Prezes Urzędu Ochrony Danych Osobowych uznał za konieczne przeprowadzenie czynności kontrolnych również w Spółce, która zgodnie z umową outsourcingu była administratorem danych. Celem kontroli miało być zbadanie legalności przetwarzania danych osobowych przy użyciu przedmiotowego systemu. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że Spółka swoim zaniechaniem uniemożliwiła dokonanie przez Prezesa Urzędu Ochrony Danych Osobowych bardzo istotnych ustaleń dotyczących legalności przetwarzania danych osobowych. Naruszenie miało znaczną wagę i poważny charakter, ponieważ brak współpracy Spółki z Prezesem Urzędu Ochrony Danych Osobowych spowodowało uniemożliwienie organowi przeprowadzanie kontroli przestrzegania przez Spółkę przepisów o ochronie danych osobowych.
Na uwagę zasługuje również postępowanie dotyczące podjętej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli w zakresie udostępniania u Głównego Geodety Kraju danych osobowych z ewidencji gruntów i budynków za pośrednictwem portalu GEOPORTAL2. Ze względu na brak zgody Głównego Geodety Kraju kontrolujący nie mogli dokonać oceny wdrożonych środków technicznych mających na celu zapewnienie bezpieczeństwa danych objętych ochroną, w tym danych przetwarzanych za pośrednictwem portalu GEOPORTAL2, w szczególności nie dokonali oględzin miejsc, przedmiotów, urządzeń nośników oraz systemów informatycznych służących do przetwarzania danych. W dalszym toku postępowania Główny Geodeta Kraju podtrzymał swój brak zgody na przeprowadzenie kontroli, nie wyraził również w żadnym stopniu woli współpracy z Prezesem Urzędu Ochrony Danych Osobowych w celu usunięcia naruszenia, mogącej polegać w szczególności na udzieleniu pełnych i wyczerpujących wyjaśnień w zakresie, w którym doszło do udaremnienia kontroli. Prezes Urzędu Ochrony Danych Osobowych za naruszenie polegające na braku współpracy w ramach wykonywania przez PUODO jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu kontrolującym dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań (art. 31 oraz art. 58.1. e) i f) RODO), nałożył na Biuro Geodezji i Kartografii karę w wysokości 100.000 PLN.
Wybrane decyzje wydane przez europejskie organy nadzoru
Analizując z kolei sankcje nakładane przez organy europejskie warto wskazać na karę nałożoną na szpital w Portugalii w wysokości 400.000 EUR. W toku postępowania kontrolnego wykazano trzy grupy naruszeń tj. zasady minimalizacji danych poprzez dostęp do nadmiernej liczby danych osobowych pacjentów przez nieupoważnionych do tego pracowników (art. 5.1.c RODO), zasady integralności i poufności w wyniku niestosowania środków technicznych i organizacyjnych w celu uniemożliwienia bezprawnego dostępu do danych osobowych (art. 5.1.f RODO) oraz niezdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług leczniczych, a także za niewdrożenie środków technicznych w celu zapewnienia prawidłowego poziomu bezpieczeństwa adekwatnego do ryzyka, w tym procesu regularnego testowania i oceny środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania (art. 32.1.b RODO).
W 2019 roku francuski organ nadzoru (CNIL), nałożył na firmę GOOGLE LLC karę finansową w wysokości 50.000.000 EUR, za brak przejrzystości (art. 5.1.a RODO), brak spełnienia obowiązku informacyjnego (art. 13 i 14 RODO), oraz brak podstawy prawnej do przetwarzania danych osobowych użytkowników usług świadczonych przez GOOGLE, w szczególności w celu personalizacji reklam (art. 6 RODO). Ponadto, uzyskane przez firmę zgody nie były „konkretne” ani „jednoznaczne” co naruszało art. 4.11 RODO. Postępowanie kontrolne było przeprowadzone na podstawie skarg austriackiej organizacji „None Of Your Business” i francuskiej organizacji pozarządowej „La Quadrature du Net”, dotyczących utworzenia konta Google podczas konfiguracji telefonu komórkowego za pomocą systemu operacyjnego Android.
Ten sam francuski organ nadzorczy w 2020 r. podjął swoją pierwszą decyzję o nałożeniu sankcji we współpracy z innymi europejskimi organami nadzorczymi, w odpowiedzi na kilka naruszeń RODO przez spółkę SPARTOO, specjalizującą się w sprzedaży obuwia online. Spółka posiada stronę internetową dostępną w trzynastu krajach Unii Europejskiej. Postępowanie kontrolne wykazało naruszenie zasady minimalizacji danych (art. 5.1.c RODO), poprzez pełne i trwałe nagrywanie rozmów telefonicznych odbieranych przez pracowników obsługi klienta. Ponadto Spółka rejestrowała i przechowywała dane bankowe klientów, które były przekazywane podczas składania telefonicznych zamówień. Spółka naruszyła również obowiązek ograniczenia okresu przechowywania danych (art. 5.1.e RODO), nie usuwając na bieżąco danych osobowych oraz nie archiwizując ich. SPARTOO nie zapewniła bezpieczeństwa danych osobowych naruszając tym samym art.32 RODO. Ponadto organ nadzorczy stwierdził niespełnienie obowiązków informacyjnych wg art. 13 RODO, ponieważ informacje zawarte w polityce prywatności serwisu były niespójne. Ponadto w przypadku pracowników brakowało wystarczających informacji na temat nagrywania rozmów telefonicznych z klientami. Pracownicy nie byli informowani o celu przetwarzania, podstawie prawnej, odbiorcach danych, okresie przechowywania danych oraz o przysługujących im prawach. Ze względu na znaczną liczbę naruszeń organ nałożył na SPARTOO karę finansową w wysokości 250.000 EUR.
Duński organ nadzorczy nałożył na Arp-Hansen Hotel Group karę finansową w wysokości 147.000 EUR. Organ nadzorczy dokonał kontroli systemów informatycznych w celu zbadania, czy Arp-Hansen Hotel Group dysponował wystarczającymi procedurami zapewniającymi, że dane osobowe nie są przechowywane dłużej niż jest to konieczne do celów ich gromadzenia. Kontrola wykazała, że jeden z systemów rezerwacji zawierał dużą ilość danych osobowych, które należało już usunąć zgodnie z terminami usuwania ustalonymi przez samą Arp-Hansen Hotel Group, tym samym został naruszony obowiązek ograniczenia okresu przechowywania danych (art. 5.1.e RODO).
W październiku 2019 r. Berliński komisarz ds. Ochrony danych i wolności informacji nałożył na Deutsche Wohnen SE karę w wysokości około 14.500.000 EUR za naruszenia art.25 ust. 1 RODO i art. 5 RODO za okres od maja 2018 r. do marca 2019 r. Podczas kontroli organ nadzorczy stwierdził, że firma wykorzystywała system archiwalny do przechowywania danych osobowych najemców, który nie zapewniał możliwości usunięcia danych, które nie są już potrzebne. Dotyczyło to danych o sytuacji osobistej i finansowej najemców, wyciągi z umów o pracę, dane podatkowe, ubezpieczenia społeczne i zdrowotne oraz wyciągi bankowe.
Za zbyt dużą ingerencję pracodawcy w dane pracowników, w tym ich dane z życia prywatnego, została ukarana niemiecka spółka H&M Hennes & Mauritz Online Shop A.B. & Co. KG. Niemiecki organ nadzoru ustalił, że Spółka zbierała i utrwalała w formie notatek na dysku sieciowym, szczegółowe informacje dotyczące życia prywatnego pracowników m.in. informacje dotyczące urlopów, a w przypadku urlopu chorobowego, informacje dotyczące objawów danej choroby i wydanej przez lekarzy diagnozy. W formie elektronicznej były również utrwalane informacje dotyczące życia prywatnego pracowników np. ich problemów rodzinnych czy przekonań religijnych, które były
zbierane podczas zwykłych rozmów towarzyskich. Dostęp do tak zebranych informacji mogło mieć nawet 50 osób z kadry kierowniczej Spółki. Informacje – notatki, o pracownikach były sporządzane z dużą szczegółowością i przechowywane przez bardzo długi okres. Co istotne, zebrane informacje były wykorzystywane z jednej strony do skrupulatnej oceny wydajności danego pracownika, z drugiej zaś do tworzenia szczegółowego profilu pracownika, przydatnego do podejmowania decyzji dotyczących zatrudnienia. Spółka swoim działaniem naruszyła art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Organ nadzoru uznał, że doszło do szczególnie poważnego naruszenia praw obywatelskich pracowników Spółki i nałożył na Spółkę niebagatelną karę w wysokości 35.258.708 EUR.
Publication: https://magazyn-odo.pl/w-numerze/