1. Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej – 9 lutego 2021 r.

Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, z administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.

Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

Więcej na ten temat pisaliśmy tutaj: https://iodkancelaria.pl/2021/02/17/pierwsza-kara-uodo-za-nieprzestrzeganie-nakazu-decyzji-administracyjnej/

2. Kara upomnienia za naruszenie ochrony danych osobowych z powodu nieaktualnego oprogramowania – 17 lutego 2021 r.

Organ nadzorczy nałożył karę upomnienia na Spółkę, gdyż administrator ten stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.
Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

https://uodo.gov.pl/pl/138/1896

3. Kara pieniężna za naruszenie przepisów RODO dla Krajowej Szkoły Sądownictwa i Prokuratury – 18 lutego 2021 r.

UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora.

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych. Ponadto należy wskazać, że administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Przypomnijmy, KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej.. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.

Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)

https://uodo.gov.pl/pl/138/1909

4. WSA oddalił skargę RPO na decyzję Prezesa UODO dotyczącą oświadczeń sędziów i prokuratorów – 22 lutego 2021 r.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2021 r. (sygn. akt II SA/Wa 1264/20) przyznał rację Prezesowi Urzędu Ochrony Danych Osobowych, który umorzył postępowanie dotyczące obowiązku składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Oddalił więc skargę Rzecznika Praw Obywatelskich na tę decyzję organu nadzorczego.
Prezes UODO uznał, że wspomniany obowiązek nałożony na sędziów i prokuratorów nie narusza rozporządzenia ogólnego o ochronie danych osobowych (RODO), gdyż wynika on z przepisów prawa. Tym samym w tej sprawie nie można było uznać, że organ nadzorczy miał podstawy prawne do wydania postanowienia ograniczającego przetwarzanie danych osobowych sędziów i prokuratorów w trybie art. 70 ust. 1 ustawy o ochronie danych osobowych. Wydania takiego zabezpieczenia domagał się RPO.
UODO badając sprawę na wniosek RPO przeanalizował przepisy ustawy o zmianie ustaw – Prawo o ustroju sądów powszechnych, ustawy o Sądzie Najwyższym oraz niektórych innych ustaw, które zobowiązały sędziów i prokuratorów do składania wspomnianych oświadczeń, które następnie są publikowane w Biuletynie Informacji Publicznej. Postępowanie UODO wykazało, że przetwarzanie danych osobowych sędziów i prokuratorów jest zatem wynikiem wykonania przez ww. osoby obowiązku jednoznacznie określonego w przepisie prawa. Ma więc ono oparcie w art. 6 ust. 1 lit. c) RODO, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Dlatego też Prezes UODO nie miał podstaw do stwierdzenia naruszenia przepisów o ochronie danych osobowych.
https://uodo.gov.pl/pl/138/1922

5. Pozytywna opinia Prezesa UODO dwóch projektów kodeksów postępowania RODO dla sektora zdrowia – 23 lutego 2021 r.

 
Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach.
Zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.
Organ nadzorczy podkreślił, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą – stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów.
„Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”
W opinii UODO, Kodeks spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Ponadto stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w ww. wytycznych. Za takie zabezpieczenia należy uznać: wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
„Kodeks postepowania dla sektora ochrony zdrowia”
Kodeks ten spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.
https://uodo.gov.pl/pl/138/1923

6. WSA potwierdza, że GGK uniemożliwiał przeprowadzenie kontroli – 23 lutego 2021 r.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję UODO w sprawie nałożenia administracyjnej kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli.
Wyrok w tej sprawie zapadł 23 lutego 2021 roku na posiedzeniu niejawnym (sygn. akt. II SA/Wa 1746/20). Przez brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie kontrolerzy UODO nie mogli ustalić następujących kwestii. Po pierwsze, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków, za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych. Po drugie, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych.

Urząd Ochrony Danych Osobowych, biorąc pod uwagę celowe działanie GGK, które uniemożliwiło przeprowadzenie kontroli w pełnym zakresie, stwierdził naruszenie przez niego przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Ponadto GGK nie współpracował z UODO w trakcie tej kontroli.

https://uodo.gov.pl/pl/138/1926

7. KOLEJNA KARA ZA BRAK WSPÓŁPRACY Z UODO

Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o. z siedzibą w Warszawie, która, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania.

Ukarana spółka w związku z postępowaniem administracyjnym, prowadzonym w celu rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)

https://uodo.gov.pl/pl/138/1897

8. WSA oddalił skargę ClickQuickNow na decyzję UODO – 25 lutego 2021 r.

Skarga spółki ClickQuickNow na decyzję Prezesa Urzędu Ochrony Danych Osobowych została oddalona przez Wojewódzki Sąd Administracyjny w Warszawie. Chodzi o decyzję nakładającą karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.

Wyrok w tej sprawie zapadł 10 lutego 2021 r. (sygn. akt II SA/Wa2378/20).

W decyzji nakładającej administracyjną karę pieniężną za naruszenie przepisów ogólnego rozporządzenia o ochronie danych (RODO), Urząd pokreślił, że ukarana spółka nie tylko w procesie wycofania zgody nie uwzględniła zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie, a wręcz działała odwrotnie, tzn. stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne.

Ponadto spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc realizację prawa do żądania usunięcia danych osobowych ( tzw. prawa do bycia zapomnianym).

https://uodo.gov.pl/pl/138/1927

9. Rekomendacja UODO dotycząca danych biometrycznych – 3 marca 2021 r.

Przez UODO uznał, że przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność.

Rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami. Dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne. A więc w ciągu całego naszego życia nie da się ich zmienić, tak jak np. nazwiska, numeru identyfikacyjnego, adresu zamieszkania. Ewentualny wyciek tej szczególnej kategorii danych osobowych – spowodowałby wysokie ryzyko naruszenia praw i wolności osób, których dotyczą. Negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie. Dlatego przetwarzanie danych biometrycznych dopuszczone jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO gdy m.in. pozwala na to przepis bądź osoba, której dane dotyczą wyraziła na to zgodę.

Prezes UODO przypomina, że przetwarzanie danych biometrycznych nie może się odbywać z pominięciem zasady minimalizacji określonej w art. 5 ust. 1 lit. c) RODO. Zgodnie z nią administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów.

https://uodo.gov.pl/pl/138/1943

10. Kara UODO nałożona na ENEA S.A. za brak zgłoszenia naruszenia ochrony danych osobowych – 4 marca 2021 r.

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.
Do dnia wydania decyzji przez UODO, spółka nie wykonała obowiązku wynikającego z art. 33 RODO.
https://uodo.gov.pl/pl/138/1944