blog
Kolejna milionowa kara za naruszenie ochrony danych osobowych
W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską.
Naruszenie ochrony danych osobowych
Powodem wszczęcia postępowania przez UODO było liczne zgłaszanie naruszeń przez Cyfrowy Polsat S.A. dotyczących zgubionej korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy przez firmy kurierskie. Ponadto przeprowadzona przez Urząd analiza wykazała, że administrator danych zgłaszał naruszenia bezpieczeństwa danych do UODO ze znacznym opóźnieniem wynoszącym nawet 3 miesiące od momentu wystąpienia incydentu.
Cyfrowy Polsat swoją zwłokę tłumaczył późnym przekazywaniem wiadomości przez firmy kurierskie. Takie uzasadnienie nie przekonało urzędu, który uznał że to administrator powinien podjąć skuteczne działania, które ograniczają skalę naruszeń oraz pozwolą na szybsze identyfikowanie takich incydentów. UODO zaznaczył także, że Cyfrowy Polsat zbyt późno przekazywał informacje podmiotom danych, których dotyczyło naruszenie, co z kolei oznaczało wyższe ryzyko wystąpienia negatywnych konsekwencji dla osób fizycznych.
Organ zaznaczył, że przesyłki zawierały często szereg danych osobowych takich jak dane korespondencyjne, ID kontraktu, numer umowy czy numery faktur. Zatem brak wdrożonych odpowiednich środków organizacyjnych i technicznych o których stanowi art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: „RODO”) zadecydował o nałożeniu wysokiej kary finansowej – 1,1 mln zł.
Przypomnijmy, że przywołany przepis Rozporządzenia nakłada na administratora i podmiot przetwarzający ogólny obowiązek zabezpieczenia przetwarzanych danych. Przy wdrażaniu zabezpieczeń należy wskazać jakie aspekty powinny zostać wzięte pod uwagę przy ocenie ryzyka i wdrożeniu zabezpieczeń jakie rodzaje funkcjonalności są potrzebne aby zapewnić odpowiedni poziom bezpieczeństwa. Zdaniem organu administrator nie dopełnił rzeczonych obowiązków.
Warto podkreślić, że pomimo iż nieprawidłowości związanie były z naruszeniami po stronie firmy kurierskiej, to UODO stwierdził, że to właśnie administrator danych powinien zostać ukarany jako, że nieprawidłowo realizował nadzór nad zawartymi umowami, przez co dochodziło do późnej weryfikacji naruszeń. To jego działania doprowadziły do szeregu zaniedbań polegających na tym, że ani UODO ani podmioty danych przez wiele miesięcy nie dowiadywały się o zaistniałych incydentach bezpieczeństwa danych.
W związku z powyższym, Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia przepisów RODO, gdyż – jak wskazał – zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości. Nie gwarantowałoby również tego, że administrator ten w przyszłości nie dopuści się podobnych zaniedbań.
Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.
Pełna treść decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.