Szwedzki organ właściwy do spraw ochrony danych osobowych (Datainspektionen) nałożył karę na Krajowe Centrum Obsługi (Statens servicecenter) w związku ze stwierdzonymi naruszeniami ochrony danych osobowych RODO. Ukaranym jest szwedzki organ publiczny zajmujący się obsługą administracji państwowej (płace, kadry, finanse). Kwota to 200 000 koron szwedzkich (około 85 000 zł).
Co ciekawe, głównym powodem nałożenia kary finansowej było zbyt późne zawiadomienie regulatora oraz zainteresowanych podmiotów, o naruszeniu ochrony danych osobowych.
Zgłoszenie naruszenia ochrony danych osobowych
W czerwcu 2019 r. szwedzki organ nadzorczy otrzymał od Narodowego Centrum Obsługi zgłoszenie naruszenia ochrony danych osobowych. Zgłoszenie dotyczyło wykrytych nieprawidłowości w zakresie przetwarzania danych osobowych za pośrednictwem systemu zarządzania płacami (Primula). Polegały one na tym, że osoby nieupoważnione mogły uzyskać dostęp do danych osobowych przetwarzanych za pomocą tego systemu, w którym znajdują się informacje zarówno o osobach zatrudnionych w Narodowym Centrum Obsługi, jak i dane pozyskane od podmiotów, które korzystają z centrum usług w celu zarządzania listą płac.
Jak wynika z treści decyzji (link do decyzji poniżej) zgłoszone naruszenie dotyczyło danych osobowych prawie 300 000 osób, z czego 1800 było pracownikami Narodowego Centrum Obsługi. Incydent dotyczył m.in. następujących kategorii danych osobowych: numer identyfikacyjny (odpowiednik numeru PESEL), imię i nazwisko, dane dotyczące płci, dane adresowe, informacje finansowe (takie jak tabela podatkowa, kolumna podatkowa, korekty, podatek procentowy, kraj zatrudnienia itp.), okres zatrudnienia, miejsce zatrudnienia, informacja o zezwoleniu na pracę, czy też informacje o krewnych lub innych osobach do kontaktu.
Co ciekawe, Narodowe Centrum Obsługi wskazało w zawiadomieniu, że nie jest jasne, jak doszło do nieuprawnionego dostępu do danych osobowych oraz czy osoby nieuprawnione nadal mają do nich dostęp.
Znaczna zwłoka z zawiadomieniem
Po przeprowadzeniu postępowania kontrolnego, szwedzki organ ustalił, że o naruszeniu ochrony danych osobowych Narodowe Centrum Obsługi dowiedziało się już 28 marca 2019 r., zaś nieprawidłowości trwały od 14 marca do 30 maja 2019 r.
Jak wynika z treści decyzji, regulator od 13 sierpnia 2019 r. otrzymał aż 37 zgłoszeń naruszenia ochrony danych osobowych związanych z funkcjonowaniem systemu zarządzania płacami (Primula). Organ ustalił, że Narodowe Centrum Usług dopiero 12 sierpnia 2019 r. poinformowało o stwierdzonych nieprawidłowościach 47 administratorów (podmioty publiczne), którzy korzystali z jego usług w ramach tego systemu.
Znaczną zwłokę z zawiadomieniem organu nadzorczego oraz zainteresowanych podmiotów o naruszeniu ochrony danych osobowych, ukarany podmiot tłumaczył chęcią uprzedniego ustalenia, czy i w jaki sposób doszło do incydentu. Zdaniem Narodowego Centrum Usług, takie czynności są warunkiem zgłoszenia, zgodnie z art. 33 ust. 2 RODO.
Szwedzki organ nadzorczy podkreślił, że ukarany podmiot zawiadomił regulatora po trzech miesiącach, zaś inne zainteresowane podmioty, aż po pięciu miesiącach, od zaistnienia zdarzenia. W przypadku wykrycia takiego rodzaju incydentu ważne jest – zdaniem organu nadzorczego – jak najszybsze poinformowanie wszystkich podmiotów, których dotyczy naruszenie ochrony danych osobowych. Jest to niezbędne, aby zapewnić im możliwość podjęcia szybkich i skutecznych działań mających na celu zminimalizowanie ryzyka związanego z danym naruszeniem. Narodowe Centrum Obsługi – informując organ nadzorczy z tak dużą zwłoką – rażąco naruszył art. 33 ust. 1 RODO.
Oprócz kary finansowej regulator zobowiązał ukarany podmiot do opracowania procedury dotyczącej dokumentacji naruszeń ochrony danych osobowych i zapewnienia zgodności przetwarzania danych osobowych z wdrożonymi procedurami.
Przypominamy, że zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Źródło:
Decyzja:
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-ssc-20200428.pdf
Polecamy także:
Kolejna wysoka kara dla właściciela wyszukiwarki Google
Powrót do pracy po epidemii – jakich zasad należy przestrzegać?