3 minute read
BEZPIECZEŃSTWo DANYCH
from OSOZ Polska
by OSOZ Polska
Kary za zaniedbania w przetwarzaniu danych osobowych na ponad 2 mln zł
Prezes Urzędu Ochrony Danych Osobowych nałożył w 2020 roku łącznie 8 kar, największą z nich na kwotę 1,9 mln zł. W wielu przypadkach zastosowano jedynie upomnienia.
Advertisement
KAROLINA SZUŚCIK, CISA, Inspektor Ochrony Danych, KAMSOFT S.A.
Rok 2020 niejednokrotnie zaskakiwał nas wszystkich. I choć gdy piszę ten tekst, w moim kalendarzu wciąż jest 2020 rok, wydaje się, że w kwestii będącej przedmiotem niniejszego artykułu, w ostatnich dniach grudnia niewiele zdąży się już zmienić. Chodzi o kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych. Poniższe podsumowanie wskazuje, że choć kar w 2020 roku było tyle samo co w 2019 roku, były one zdecydowanie mniej dotkliwe finansowo dla podmiotów, które dopuściły się naruszenia. Gdyby nie bardzo wysoka kara (443000 EUR) nałożona w grudniu 2020 roku, różnica w wysokościach kar byłaby jeszcze bardziej znacząca. Powyższa statystyka daje wyłącznie ogólny obraz aktywności Prezesa UODO w zakresie nakładanych kar, choć oczywiście aktywność Urzędu Ochrony Da-
nych Osobowych jest dużo szersza niż tylko nakładanie kar administracyjnych. Dla Administratorów danych informacja o nałożonych karach daje jednak wiele cennych informacji, w szczególności wskazuje na niewłaściwe praktyki i sposoby zabezpieczania przetwarzanych danych osobowych. Z zestawienia dowiadujemy się zatem, jakie konkretnie niewłaściwe praktyki zostały zidentyfikowane przez Prezesa UODO w 2020 roku.
Wnioski z listy naruszonych przepisów Aż cztery kary zostały nałożone w efekcie niewystarczającej współpracy z Prezesem UODO. Co kryje się pod hasłem „niewystarczającej współpracy”? Z decyzji wynika, iż było to w szczególności niezapewnienie Prezesowi Urzędu Ochrony Danych Osobowych dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych oso-
»Za naruszenie zasad dotyczących przetwarzania danych osobowych, prezes UODO może nałożyć karę pieniężną nawet do 20 mln euro lub 4% obrotu.«
bowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych. Szczególną uwagę należy zwrócić na najwyższą karę, nałożoną w grudniu 2020 na podmiot z branży telekomunikacyjnej. Jak czytamy w decyzji UODO, podmiot ten nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych. UODO stwierdził także, że spółka nie przeprowadzała regularnych i kompleksowych testów i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych. Niech zaprezentowane podsumowanie będzie dla nas wszystkich lekcją, jak nie należy przetwarzać danych osobowych w naszych organizacjach.
rok Ilość nałożonych przez Prezesa UODO kar
2019 8
2020 8 958670 EUR Wysokość kar nałożonych przez Prezesa UODO
512768 EUR (w tym 443000 EUR nałożone w grudniu)
Data decyzji Podmiot na który została nałożona kara Wysokość kary (EUR) Naruszony przepis RODO Podsumowanie
2020–03–04 Szkoła w Gdańsku 4600 (20000 PLN) Art. 5 RODO, Art. 9 RODO Niewystarczające podstawy prawne do przetwarzania danych biometrycznych uczniów.
2020–03–09 Vis Consulting Sp. z o.o. 4600 (20000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO.
2020–06–03 Przedsiębiorca prowadzący niepubliczne przedszkole i żłobek 1168 (5000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
2020–07–10 East Power Sp. z o.o. 3400 (15000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
2020–07–15 Biuro Geodezji i Karto grafii -
2020–08–31 Geodeta Generalny Pol ski („GKK”) 22300 (100000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
22700 (100000 PLN) Art. 5 RODO, Art. 6 RODO Niewystarczające podstawy prawne do prze twarzania danych osobowych -
2020–09–08 Szkoła Główna Gospodarstwa Wiejskiego w Warszawie 11200 (50000 PLN) Art. 32 RODO
2020–12–14 Virgin Mobile Polska 443000 (1,9 MLN PLN) Art. 5 ust. 1 lit. f, Art. 5 ust. 2, Art. 25 ust. 1, Art. 32 ust. 1 lit. b i d, Art. 32 ust. 2 Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji
Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji
