Niemiecki Urząd Ochrony Danych ukarał w poniedziałek (9 grudnia) dostawcę usług telekomunikacyjnych 1&1 Telecom GmbH grzywną o wysokości 9.550.000 euro. Jako powód organ podaje brak wdrożenia adekwatnych, technicznych oraz organizacyjnych środków, które uniemożliwiłyby dostęp do danych osobom nieuprawnionym.
Współpraca z organem nie pomogła
Podstawą nałożenia kary finansowej na spółkę było naruszenie art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”). Zgodnie z jego treścią, każdy administrator danych oraz podmiot przetwarzający mają obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Osoby dzwoniące do 1&1 Telecom GmbH miały możliwość, bez przejścia wymiernego procesu uwierzytelniającego, uzyskiwania obszernych informacji zawartych w umowie z operatorem. Na uwagi strony BfDI, dotyczące przetwarzania danych osobowych, firma zareagowała podjęciem zdecydowanych działań mających na celu podniesienie poziomu bezpieczeństwa np. poprzez wprowadzenie nowej procedury uwierzytelniania oraz zabezpieczenie samego procesu. Ponadto wykazała się ona transparentnością oraz deklaracją współpracy z organem. Nie wpłynęło to jednak na decyzję urzędu o nałożeniu grzywny, gdyż naruszenie stanowiło zagrożenie dla całej bazy danych klientów.
Ukarana firma będzie się bronić
Dr Julia Zirfas, pełniąca funkcję inspektora ochrony danych w 1&1 Telecom GmbH podważa proporcjonalność wymierzonej grzywny. Jak twierdzi, bezpieczeństwo danych milionów klientów stanowi dla firmy priorytet, a kara finansowa została obliczona na podstawie skonsolidowanej kwoty z rocznej sprzedaży. Dr Zirfas podkreśla również, że uzależnianie wysokości grzywny od wysokości obrotu nie ma podstaw w RODO i jest sprzeczne z zasadą równego traktowania oraz proporcjonalności. Prowadzi to do sytuacji, gdzie nawet najmniejsze naruszenie może doprowadzić do gigantycznych sankcji.
Ochrona danych to ochrona praw podstawowych
1&1 Telecom GmbH nie jest jedyną firmą telekomunikacyjną ukaraną przez urząd. Za brak dopełnienia wynikających z RODO obowiązków zapłaci również Rapidata GmbH, która pomimo ustawowego wymogu nie powołała Inspektora Ochrony Danych. W tym wypadku kara wyniosła jednak 10.000 euro. Urlich Kelber, pełniący funkcję komisarza federalnego podkreślił wyraźnie, jak duże znaczenie ma ochrona danych osobowych. Nałożone grzywny mają w dużym stopniu przyczynić się do podniesienia poziomu bezpieczeństwa danych oraz wyegzekwować przestrzeganie praw podstawowych.
