GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ponad 100 tys. zł kary za brak zgłoszenia naruszenia

kara za brak zgloszenia naruszenia

23 listopada 2023 r.  Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu administracyjnej kary pieniężnej w wysokości 103 752 zł na Link4 Towarzystwo Ubezpieczeń S.A. Przyczyną ukarania spółki było niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, w terminie 72 godzin od jego stwierdzenia.

Sprawę zainicjowała osoba trzecia, będąca nieuprawnionym odbiorcą wiadomości e-mail, otrzymanej od Link4. W załączniku dołączone były dokumenty potwierdzające przyznanie odszkodowania, zawierające dane osobowe, takie jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model i numer rejestracyjny pojazdu, numer polisy, numer i wartość szkody oraz kwotę uznanego roszczenia.

Osoba trzecia poinformowała Link4 o otrzymanej wiadomości, jednak nie otrzymała odpowiedzi. Poinformowała o zdarzeniu UODO.

Po pierwsze – ryzyko

Prezes UODO wszczął postępowanie, rozpoczynając od zebrania wyjaśnień administratora danych. Spółka Link4 przyznała, iż wiedziała o naruszeniu. Nieprawidłową wysyłkę wiadomości uzasadniła „błędem ludzkim”, zaś brak notyfikacji niskim ryzykiem dla praw i wolności osób, których dane dotyczą.

Do oceny ryzyka spółka wykorzystała dostępny w Internecie, darmowy kalkulator, a także „rekomendowaną na stronie UODO metodologię ENISA”. Administrator poprzestał na odnotowaniu incydentu w wewnętrznym rejestrze.

Argumentacja administratora nie przekonała Prezesa UODO. Organ nadzorczy podkreślił, że gruntownie przeprowadzona analiza ryzyka zdarzenia powinna stawiać w centrum osobę, której dane dotyczą, nie zaś interesy administratora.

Notyfikacja naruszeń nie może być uzależniona od zaistnienia naruszenia praw lub wolności osoby dotkniętej naruszeniem, samo ryzyko wystąpienia naruszenia uzasadnia bowiem zgłoszenie naruszenia do UODO – przypomina Prezes UODO.

Biorąc pod uwagę okoliczności sprawy, w tym długi czas trwania naruszenia, jego umyślność oraz niezadowalający poziom współpracy spółki z UODO, organ nadzorczy zastosował środek w postaci administracyjnej kary pieniężnej.

Administratorze, współpracuj!

To nie pierwsza sprawa, w której stopień współpracy administratora z urzędem przekłada się na wysokość nakładanej kary.

Nieco ponad miesiąc temu, 12 października 2023 r., francuski organ nadzorczy CNIL nałożył na spółkę CANAL+ karę w wysokości 600 000 euro za niedopełnienie szeregu obowiązków wynikających z RODO.

„Wysokość tej kary została ustalona w oparciu o stwierdzone naruszenia, a także po uwzględnieniu współpracy przedsiębiorstwa i wszelkich środków podjętych w trakcie postępowania w celu zapewnienia zgodności” – wyjaśnia CNIL.

Ze stanowiska francuskiego organu nadzorczego wynika, iż proaktywne zachowanie administratora znacząco wpłynęło na zmniejszenie wysokości nałożonej kary.

Integralny, czyli nierozerwalnie związany z całością

Skuteczny proces obsługi naruszeń obejmuje wiele aspektów. Gwarancję jego efektywności przyznaje zaimplementowanie ich w całościowy system ochrony danych.

 

Elementem koniecznym budowy systemu jest świadomość, pozwalająca na identyfikację zdarzeń, incydentów i naruszeń na każdym poziomie organizacji, a także ich dalsza analiza oparta na adekwatnej metodologii oceny ryzyka.

W procesie uwzględniającym 72 godzinny termin notyfikacji naruszeń, pożądana jest procedura postępowania, wyznaczająca role oraz zapewniająca przepływ informacji pomiędzy personelem, IOD i administratorem.

Istotne jest także uwzględnienie odpowiednich środków bezpieczeństwa, których wdrożenie zminimalizuje ryzyko wystąpienia niepożądanych zdarzeń w przyszłości.

W razie wystąpienia naruszenia niezbędny jest także spokój i współpraca z organem nadzorczym, która jak już wiemy zawsze jest w cenie.

 

Agnieszka Godlewska

Źródła:

https://uodo.gov.pl/pl/138/2916

https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-du-groupe-canal