W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Korzystając z naszej strony akceptujesz zasady Polityki Cookie.
  • Milionowa kara za rażące zaniedbanie spółki w zakresie ochrony danych osobowych
Artykuł:

Milionowa kara za rażące zaniedbanie spółki w zakresie ochrony danych osobowych

26 stycznia 2021

Małgorzata Mędrala , Radca Prawny, Doktor Nauk Prawnych |

Zaniedbanie spółki poskutkowało surową karą

Niewdrożenie odpowiednich środków techniczno-organizacyjnych ukierunkowanych na minimalizowanie ryzyka naruszenia zdolności do ciągłego zapewniania poufności danych osobowych oraz brak szybkiej i stanowczej reakcji na uzyskanie przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych spowodowało nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę ID Finance Poland sp. z o.o. w likwidacji, będącą właścicielem portalu pożyczkowego MoneyMan.pl („Spółka”) administracyjnej kary pieniężnej w wysokości 1.069.850,00 zł.

Na czym polegało naruszenie?

Utrata kontroli nad przechowywanymi informacjami poufnymi miała miejsce w wyniku restartu serwera, na którym się one znajdowały, przez podmiot przetwarzający – zewnętrzną spółkę, której na podstawie zawartej umowy powierzono przetwarzanie danych w celu realizacji usług mających charakter hostingu („Podmiot Przetwarzający”). Po restarcie serwera dokonanym przez pracownika Podmiotu Przetwarzającego, nastąpiło również zresetowanie oprogramowania odpowiadającego za bezpieczeństwo serwera, co spowodowało, że dane na nim zamieszczone na pewien okres czasu stały się publicznie dostępne. Pierwszy sygnał o nieprawidłowościach Spółka otrzymała od niezależnego specjalisty w zakresie cyberbezpieczeństwa, jednak poza poinformowaniem o tym Podmiotu Przetwarzającego nie podjęła ona żadnych innych kroków. Baza danych znajdujących się na serwerze została wówczas pobrana przez podmiot trzeci, który następnie skierował do Spółki żądanie zapłaty wynagrodzenia za jej zwrot. Baza danych obejmowała niezwykle wrażliwe dane ponad 140 tys. klientów Spółki, na które składały się m.in. imiona i nazwiska, dane adresowe, dane dotyczące zatrudnienia, numery PESEL, numery rachunków bankowych, a także niezaszyfrowane hasła do logowania w systemie MoneyMan.pl.

Opierając się na ustalonym stanie faktycznym, Prezes UODO stwierdził, że Spółka po utracie pełnej kontroli nad bazą danych, nie podejmowała odpowiednich działań mających na celu sprawne i szybkie stwierdzenie naruszenia, co skutkowało potwierdzeniem nieprawidłowości przekazanych do organu nadzorującego dopiero po około 10 dniach. Zdaniem Prezesa UODO, podjęcie natychmiastowych działań pozwoliłoby stwierdzić naruszenie ochrony danych znacznie szybciej i potencjalnie zminimalizować ryzyko dla praw i wolności klientów Spółki.

Podstawy prawne wymierzonej kary

Prezes UODO, wydając decyzję z dnia 17 grudnia 2020 r., na mocy której została na Spółkę nałożona ponad milionowa administracyjna kara pieniężna, opierał się przede wszystkim na postanowieniach Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („Rozporządzenie 2016/679”).

W opisywanej decyzji wskazano m.in., że Spółka mimo niezwłocznego przekazania sygnału o nieprawidłowościach Podmiotowi Przetwarzającemu, nie podjęła swoich działań w sposób odpowiedni. Okoliczności sprawy wskazywały, że administrator pobieżnie przeanalizował otrzymaną wiadomość, nie potraktował jej z należytą powagą i nie zobligował Podmiotu Przetwarzającego do tego samego. Tym samym, Spółka naruszyła postanowienia art. 33 ust. 1 Rozporządzenia 2016/679, które nakazują – w przypadku naruszenia ochrony danych osobowych – zgłoszenie tego faktu organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin, chyba że jest mało prawdopodobne, że naruszenie to skutkowałoby ryzykiem naruszenia praw lub wolności osób fizycznych.

Spośród innych przepisów Rozporządzenia 2016/679 (RODO), które w przedmiotowej sprawie zostały przez Spółkę naruszone, Prezes UODO wymienił m.in.:

  • naruszenie art. 32 ust. 2, polegające na nieuwzględnieniu przez Spółkę ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego ich udostępnienia przy dokonywaniu oceny pierwszego sygnału o nieprawidłowościach,
  • naruszenie zasady poufności wynikającej z art. 5 ust. 1 lit. f, polegające na niewywiązaniu się z obowiązku zapewnienia przetwarzania danych osobowych w sposób gwarantujący ich odpowiednie bezpieczeństwo do momentu otrzymania pierwszego sygnału o nieprawidłowościach,
  • naruszenie art. 25 ust. 1, polegające na niewdrożeniu przez Spółkę odpowiednich środków technicznych i organizacyjnych, mających na celu skuteczną realizację zasady ochrony danych,
  • naruszenie art. 32 ust. 1 lit. d, polegające na niedokonywaniu przez Spółkę regularnej oceny skuteczności środków bezpieczeństwa,
  • naruszenie art. 32 ust. 1 lit. b, polegające na przyczynieniu się przez Spółkę swoim działaniem do niezapewnienia zdolności do ciągłego gwarantowania poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Na co zwrócono szczególną uwagę

Analizując ustalony stan faktyczny, podkreślono, że nie wynikało z niego, aby Spółka pozyskując dane swoich klientów wykazała zainteresowanie sposobem, w jaki przechowywane są hasła użytkowników w bazie danych. Niezrozumiałym z punktu widzenia Urzędu było przechowywanie niezaszyfrowanych haseł na potrzeby wewnętrznych procedur.

Prezes UODO zwrócił ponadto uwagę na istotny wymóg, by administrator danych w ramach realizacji obowiązków wynikających z Rozporządzenia 2016/679 dokonywał cyklicznej weryfikacji, czy w używanych rozwiązaniach technicznych i organizacyjnych nie stwierdzono słabości mogących wpłynąć na ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Fakt przetwarzania tych danych przez inny, zewnętrzny podmiot nie zdejmuje tej odpowiedzialności z administratora.

Uzasadniając wysokość wymierzonej kary finansowej, Prezes UODO podkreślił, że miała na nią wpływ duża liczba osób dotkniętych naruszeniem (ponad 140 tys.) oraz bardzo szeroki charakter ujawnionych danych tych osób. Jako nie mniej istotne czynniki wpływające na wymiar kary, wskazano niewdrożenie przez Spółkę odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych klientów w sytuacjach, w których otrzymuje pierwszy sygnał o nieprawidłowościach w ich przetwarzaniu, a także fakt zwłoki ze zgłoszeniem tego naruszenia do organu nadzorującego, jakiej dopuściła się Spółka.

Prezes UODO podkreślił, że kara spełni w tych konkretnych okolicznościach funkcję represyjną, ale i prewencyjną, a zatem powinna ona zapobiec naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Spółkę, jak i innych administratorów danych. Zwrócenie szczególnej uwagi na szereg wymogów wynikających z Rozporządzenia 2016/679 powinno stanowić przestrogę do ich przestrzegania przez wszelkiego rodzaju administratorów danych osobowych.

Źródło: decyzja UODO z 17 grudnia 2020 r., DKN.5130.1354.2020; https://uodo.gov.pl/decyzje/DKN.5130.1354.2020