Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Przegląd administracyjnych kar pieniężnych

21-01-2021 Autor: Dominika Kuźnicka-Błaszkowska

Ostatnie miesiące 2020 r. to czas wzmożonej pracy wielu organów nadzorczych. Zaowocowało to nałożeniem kilkunastu, interesujących z punktu widzenia praktyki stosowania rozporządzenia o ochronie danych osobowych, kar pieniężnych. Najważniejsze z nich zostały przedstawione w tym artykule.

Chociaż na temat ogólnych zasad przetwarzania danych osobowych powiedziano już wszystko (a na pewno bardzo dużo), wciąż w praktyce wiele podmiotów ma trudności z dostosowaniem przetwarzania danych osobowych do zasad wynikających z rozdziału II rodo. Przyjrzyjmy się zatem administracyjnym karom z okresu od listopada do grudnia 2020 r.

 

Dane osobowe muszą być regularnie usuwane – Carrefour France, Francja
Na Carrefour France francuski organ nadzorczy nałożył karę w wysokości ponad 2 mln euro (decyzja CNIL z 18 listopada 2020 r.). W trakcie postępowania organ (CNIL) stwierdził, że informacje dotyczące przetwarzania danych osobowych przekazane użytkownikom stron internetowych carrefour.fr oraz osobom pragnącym przystąpić do programu lojalnościowego nie były ani łatwo dostępne, ani zrozumiałe. Ponadto wskazano, że informacje dotyczące przekazywania danych do krajów spoza UE oraz czasu przechowywania danych były niekompletne. Naruszenie dostrzeżono również w zakresie zasady ograniczenia przetwarzania, wskazując, że zarówno w przypadku danych osobowych uczestników programu lojalnościowego (28 mln klientów), jak i użytkowników strony internetowej administratora (750 tys. użytkowników) dane osobowe były przetwarzane nawet w przypadku, gdy użytkownicy i klienci byli nieaktywni przez okres od 5 do 10 lat.


W zakresie naruszenia art. 5 ust. 1 lit. e rodo wskazano również, że administrator danych przechowywał kopie krajowych dokumentów tożsamości podmiotów danych przez dłuższy czas niż było to niezbędne dla zrealizowania założonego celu, tj. potwierdzenia tożsamości użytkownika strony bądź programu lojalnościowego. Kopie dokumentów były przetwarzane przez okres nawet do 3 lat. Stanowi to również pewną wskazówkę dla polskich administratorów danych, którzy zbyt często przetwarzają dane osobowe w postaci kopii dokumentów tożsamości dłużej, niż jest to konieczne. Podobną decyzję w zakresie konieczności usunięcia danych osobowych przez administratora w przypadku, gdy ich dalsze przetwarzanie nie jest niezbędne dla osiągnięcia założonego celu, wydał duński organ nadzorczy w sprawie Arp Hansen Hotel Group A/S, nakładając blisko 150 tys. euro kary (decyzja z 28 lipca 2020 r.). Warto przyjrzeć się także innym decyzjom duńskiego organu nadzorczego: z 3 czerwca 2019 r. w sprawie IDdesign A/S nakładającą karę 200 850 euro; w sprawie Taxa 4x35 nakładającą karę 160 tys. euro w 2018 r.


W prowadzonym postępowaniu z udziałem Carrefour France stwierdzono również szereg naruszeń związanych z realizacją praw osób, których dane dotyczą. Administrator danych wymagał m.in. potwierdzenia tożsamości w prawie każdym wniosku o skorzystanie z prawa. Organ nadzorczy nie znalazł uzasadnienia dla takich działań w rodo, stwierdzając, że w większości przypadków nie było wątpliwości odnośnie do tożsamości użytkowników. Dodatkowo administrator danych nie odpowiedział na część wniosków podmiotów danych.


Organ nadzorczy, nakładając wyjątkowo wysoką karę, wziął pod uwagę roczne obroty finansowe administratora, ale również fakt, że Carrefour France w trakcie całego postępowania współpracował z CNIL, doprowadzając do zgodności przetwarzania z prawem już w trakcie prowadzonego postępowania.


Lista Robinsona i sprawa Iberdrola Clientes, Hiszpania
Piąta z kolei kara została nałożona przez hiszpański organ nadzorczy na Iberdrola Clientes, przedsiębiorstwo produkujące energię elektryczną (decyzja z 22 grudnia 2020 r., PS/00368/2020). Postępowanie zostało wszczęte w wyniku skargi podmiotu danych, który mimo że wpisany został na listę Robinsona, wciąż otrzymywał oferty telemarketingowe. Podczas rozmów telefonicznych z pracownikami administratora danych skarżący został poinformowany, że jego numer telefonu został wybrany przypadkowo, ponieważ nie figuruje on w bazie danych.


Organ nadzorczy stwierdził naruszenie art. 21 rodo i krajowej ustawy o ochronie danych osobowych oraz nałożył karę w wysokości 6 tys. euro. Organ podkreślił, że chociaż ani rozporządzenie o ochronie danych osobowych, ani ustawa krajowa nie wskazują wprost, że zastrzeżenie o wpisaniu na listę Robinsona nie stanowi uprawnienia podmiotu danych, należy odczytywać je jako prawo do wyrażenia sprzeciwu wobec przetwarzania danych osobowych określone w art. 21 rodo. W tym zakresie (nie tylko w Hiszpanii) wykształciła się już stała praktyka organów nadzorczych, które wielokrotnie nakładały administracyjne kary pieniężne na administratorów, którzy pomimo wyrażonego przez podmiot danych sprzeciwu wciąż prowadzili względem nich działalność telemarketingową.


Środki organizacyjne i techniczne muszą być regularnie testowane – Virgin Mobile, Polska
Wyjątkowo wysoka kara została nałożona przez Prezesa UODO na administratora danych Virgin Mobile 14 grudnia 2020 r. (DKN.5112.1.2020). Postępowanie zostało wszczęte w wyniku zgłoszenia przez administratora danych naruszenia ochrony danych osobowych przez wyciek danych polegający na uzyskaniu przez osobę nieuprawnioną dostępu do 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, NIP oraz nazwy podmiotu. Do wycieku doszło w grudniu 2019 r.
Naruszenie było spowodowane zastosowaniem nieprawidłowych i zbyt słabych mechanizmów weryfikacji. Administrator danych nie był w stanie wskazać konkretnej przyczyny naruszenia, ponieważ nie doszło do wykrycia sprawcy (postępowanie karne z tego powodu zostało umorzone). Jednocześnie w toku postępowania prowadzonego przez Prezesa UODO wykazano, że ostatnia weryfikacja zastosowanych u administratora środków organizacyjnych i technicznych miała miejsce w 2018 r., a w spółce nie wdrożono mechanizmów zapewniających okresowe sprawdzanie i testowanie wykorzystywanych rozwiązań. W ocenie organu środki, które wdrożył administrator, można by uznać za bezpieczne i spełniające założenia art. 32 rodo, jeśli „w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę przestrzegane”. Zdaniem organu nadzorczego nie można uznać za wystarczające incydentalnego przeprowadzania weryfikacji w przypadku wystąpienia zagrożenia, konieczne jest wdrożenie kompleksowych mechanizmów zapewniających regularną weryfikację wprowadzonych rozwiązań. Jest to szczególnie istotne np. podczas zmiany podmiotu przetwarzającego (w tym przypadku operatora płatności). Wymogu regularności testowania środków organizacyjnych i technicznych nie spełnia dokonywanie weryfikacji jedynie w przypadku zmian prawnych bądź organizacyjnych u administratora danych. Testy wykorzystywanych rozwiązań powinny być przeprowadzane niezależnie od tego typu modyfikacji. Jednocześnie zmiany w strukturze administratora powinny być powiązane z analizą ryzyka dla przetwarzania danych osobowych.


Prezes UODO w swojej decyzji wskazał w dosyć szczegółowy sposób zarówno cele analizy ryzyka, jak i jej elementy. Zdaniem organu określenie istniejących zagrożeń jest konieczne w celu uniknięcia ich powielania. Niezbędne jest sprawdzenie skuteczności stosowanego rozwiązania, aby uniknąć fałszywego poczucia bezpieczeństwa. Dla analizy ryzyka przydatne może być wykorzystanie macierzy ryzyka obrazującej poziom ryzyka rozumiany jako iloczyn prawdopodobieństwa i skutków wystąpienia danego incydentu. Analiza ryzyka nie powinna jednak opierać się na częstotliwości zdarzeń w przeszłości. Zdaniem organu nadzorczego to, że dotychczas nie doszło do naruszenia w przetwarzaniu danych osobowych, nie oznacza, że nie dojdzie do niego w przyszłości.


Uzasadnienie decyzji ma duże znaczenie dla praktyki stosowania przepisów rodo. Rzadko bowiem się zdarza, aby organ nadzorczy w tak szczegółowy sposób określił zakres czynności administratora danych.

 

[...]

 

Autorka jest doktorantką w Katedrze Prawa Konstytucyjnego Uniwersytetu Wrocławskiego. Zawodowo pracuje w Fundacji Rodzić po Ludzku oraz prowadzi negocjacje dla klientów z listy Forbes 100, również w zakresie umów powierzenia przetwarzania danych.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.