W ostatnim czasie Urząd Ochrony Danych Osobowych poinformował o dwóch dużych karach administracyjnych nałożonych przez Prezesa UODO za naruszenie przepisów o ochronie danych osobowych. Pierwsza w kwocie niemal 17 mln złotych została nałożona na McDonald’s Polska Sp. z o.o. druga natomiast w kwocie ponad 1,5 mln zł na firmę Panek SA. Obie sprawy stanowią nie tylko przestrogę dla przedsiębiorców, ale także wskazówkę, jak nie należy zarządzać przetwarzaniem danych osobowych.
Kara dla McDonald’s Polska Sp. z o.o. w łącznej wysokości niemal 17 mln zł – jak doszło do naruszenia skutkującego nałożeniem kary przez Prezesa UODO?
McDonald’s Polska Sp z o.o. powierzyła przetwarzanie danych osobowych pracowników, w tym także franczyzobiorców firmie zewnętrznej w celu obsługi grafików pracy. Spółka, jako administrator nie przeprowadziła odpowiedniej analizy ryzyka tego procesu, nie wdrożyła również odpowiednich zabezpieczeń co doprowadziło do naruszenia poprzez ujawnienie danych osobowych w publicznie dostępnym pliku. W ujawnionym pliku znalazły się m.in.: imiona, nazwiska, PESEL-e, paszporty, stanowiska, dni i godziny pracy oraz typy zmian.
Spółka co prawda zawarła z podwykonawcą mającym realizować usługi związane z zarządzaniem grafikiem pracowniczym umowę główną oraz umowę powierzenia przetwarzania danych osobowych. Jednakże jak już wspominaliśmy na naszym blogu, samo zawarcie umowy nie wystarczy. McDonald’s Polska Sp z o.o. nie zweryfikowała sposobu przetwarzania danych przez podwykonawcę, nie dokonała audytu dostawcy usług i nie sprawowała należytego nadzoru nad powierzonymi danymi.
W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył na McDonald’s Polska Sp. z o.o., jako administratora danych osobowych kary administracyjne w łącznej wysokości 16 932 657 zł oraz udzielił spółce upomnienia.
Czy tylko Administrator dopuścił się niedociągnięć w zakresie ochrony danych osobowych?
W toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego, czyli podwykonawcy McDonald’s Polska Sp. z o.o. Obowiązek wdrożenia odpowiednich środków zarówno technicznych jak i organizacyjnych nie jest czynnością jednorazową, jest to proces w ramach którego administrator i podmiot przetwarzający powinni współpracować w celu zapewnienia jak najlepszej ochrony danych.
Z decyzji Prezesa UODO wynika, że zarówno administrator i podmiot przetwarzający nie przeprowadzili analizy ryzyka, nie wdrożyli również odpowiednich środków zabezpieczających w stosunku do skali przetwarzania, natomiast samo naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający. Kolejnym naruszeniem ze strony podwykonawcy był fakt, że przy przetwarzaniu powierzonych danych osobowych ten podwykonawca, jako podmiot przetwarzający korzystał z usług innego podmiotu, z którym nie zawarł umowy dalszego powierzenia przetwarzania danych osobowych, mimo że zgodnie z przepisami i zawartą umową z administratorem miał taki obowiązek.
W związku z powyższym Prezes UODO nałożył również karę administracyjną na podwykonawcę administratora, który pełnił rolę podmiotu przetwarzającego na łączną kwotę 183 858 zł.
Co w przypadku sprawy McDonald’s Polska Sp. z o.o. jeszcze poszło nie tak?
- Po pierwsze nie zastosowano zasady minimalizacji. Nie sposób wytłumaczyć dlaczego w programie do ewidencjonowania czasu pracy pracowników i zarządzania tym czasem znalazły się takie dane jak numer PESEL czy numery paszportów, które dopiero po incydencie zostały zmienione na numery identyfikacyjne.
- Po drugie zarówno administrator, jak i podwykonawca będący podmiotem przetwarzającym, nie angażowali inspektora ochrony danych w kluczowe etapy związane z wyborem usługodawcy, konfiguracją systemu czy oceną ryzyka.
- Po trzecie administrator nie zweryfikował podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych. Wziął on jedynie pod uwagę wcześniejszą współpracę z tym podmiotem w zakresie PR.
- Kolejnym niedopatrzeniem ze strony administratora była forma zawiadomienia o wycieku danych osób których naruszenie dotyczyło. Co prawda administrator prawidłowo zauważył, że obowiązek taki zachodzi, jednak forma zawiadomienia była różna a byłych pracowników administrator zawiadomił jedynie poprzez wykupienie dwóch komunikatów prasowych. W ocenie Prezes UODO uznał taką formę za niewystarczającą, ponieważ w jego opinii komunikat prasowy nie może zostać uznany za bezpośrednie zawiadomienie o naruszeniu. W związku z tym PUODO udzielił administratorowi upomnienia.
Więcej na temat sprawy przeczytają Państwo w nieprawomocnej jeszcze Decyzji Prezesa Urzędu Ochrony Danych Osobowych DKN.5130.4179.2020:
https://orzeczenia.uodo.gov.pl/document/urn:ndoc:gov:pl:uodo:2020:dkn_5130_4179/content?query=
Kara dla Panek SA w łącznej wysokości ponad 1,5 mln zł – jak doszło do naruszenia skutkującego nałożeniem kary przez Prezesa UODO?
Tak jak w przypadku wyżej omawianej spółki tutaj również administrator danych osobowych, czyli spółka Panek SA, zdaniem Prezesa UODO, nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych, na podstawie przeprowadzonej analizy ryzyka a rozwiązań które wprowadziła nie testowała w odpowiedni sposób.
Spółka działająca w branży wynajmu samochodów, powierzyła przetwarzanie danych osobowych firmie IT w związku z przebudową strony internetowej. Spółka, jako administrator danych, nie przeprowadziła odpowiedniej analizy ryzyka dla tego procesu, nie wdrożyła także skutecznych zabezpieczeń. Na skutek błędu w komunikacji między administratorem a podmiotem przetwarzającym, pracownik podmiotu przetwarzającego, czyli firmy IT omyłkowo umieścił na nowej stronie pliki z danymi ze starego serwisu, które stały się dostępne dla wszystkich. W plikach tych znajdowały się m.in.: imiona, nazwiska, adresy e-mail, adresy zamieszkania, numery telefonów, hasła do panelu klienta oraz w przypadku niektórych osób także numery PESEL. Dane te dotyczyły użytkowników kont rejestracyjnych, jak również pracowników administratora. W wyniku nieautoryzowanego udostępnienia, pliki zostały zaindeksowane przez wyszukiwarkę Google, co umożliwiło ich publiczne odnalezienie i pobranie przez osoby trzecie. Jak zostało podane na stronie UODO przybliżona liczba osób, których dotknęło naruszenie to 21 453 osób. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o wysokim poziomie powagi.
W związku z powyższym Prezes UODO nałożył na Panek S.A. karę administracyjną w wysokości 1 527 855 zł.
Czy tylko Administrator dopuścił się niedociągnięć w zakresie ochrony danych osobowych?
W omawianej sprawie administrator i podmiot przetwarzający przerzucali się odpowiedzialnością za incydent. Firma IT będąca podmiotem przetwarzającym stała na stanowisku, że nie otrzymała od administratora niezbędnych informacji o funkcjonalnościach witryny internetowej np. nie została poinformowana o fakcie, iż strona jest zbiorem danych osobowych ponieważ realizuje proces rezerwacyjny i zbiera dane. Dodatkowo podmiot przetwarzający wskazywał, że w zawartej między nim a administratorem umowie powierzenia przetwarzania danych nie było wzmianki na temat samej strony internetowej. Natomiast zdaniem administratora danych osobowych do naruszenia by nie doszło, gdyby nie błąd konfiguracji serwera, za który odpowiedzialny jest podwykonawca.
Zarówno analiza ryzyka jak i zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron tj. niezbędne jest zaplanowanie, kontrola oraz podejmowanie działań naprawczych. Prezes UODO w swojej decyzji podkreślił, że “(…) przed wykonaniem jakichkolwiek działań, zwłaszcza polegających np. na przenoszeniu zasobu obejmującego dane osobowe z jednej lokalizacji do innej lokalizacji, Administrator i Podmiot przetwarzający winni zachować jak najdalej posuniętą ostrożność, zaś przed wdrożeniem samej zmiany winni określić zasady jej wprowadzenia, zwłaszcza w kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, oraz sprawdzić, czy operacja została zakończona całkowitym sukcesem nie tylko pod kątem sprawności działania aplikacji lub systemu, ale również pod kątem zrealizowania wymagań przepisów prawa, w tym przepisów rozporządzenia 2016/679 nakładających obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa danych” (DKN.5130.2415.2020).
PUODO w omawianej sprawie zauważył również, że brak działań podwykonawcy polegających na odpowiedniej komunikacji z administratorem świadczy o braku należytej staranności podwykonawcy, która skutkowała naruszeniem przez podmiot przetwarzający art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.
W związku z powyższym Prezes UODO nałożył na firmę IT będącą podmiotem przetwarzającym karę administracyjną w wysokości 20 037 zł.
Więcej na temat sprawy przeczytają Państwo wyroku Wojewódzkiego Sądu Administracyjnego o sygn. II SA/Wa 45/25 oraz w Decyzji Prezesa Urzędu Ochrony Danych Osobowych DKN.5130.2415.2020:
https://www.uodo.gov.pl/decyzje/DKN.5130.2415.2020
W czym możemy pomóc Ci pomóc?
W Kancelarii Prawnej MDL oferujemy kompleksowe wsparcie prawne dla przedsiębiorców z różnych branż. W szczególności możemy pomóc Państwu w:
- przeprowadzeniu audytu przetwarzania danych osobowych w firmie,
- weryfikacji polityk przetwarzania danych osobowych oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
- weryfikacji lub sporządzeniu umowy powierzenia przetwarzania danych czy upoważnienia w zakresie przetwarzania danych osobowych.
Skontaktuj się z nami za pomocą poniższego formularza kontaktowego:
