Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował o nałożeniu dwóch kar pieniężnych. Kara wobec administratora (PANEK SA) wynosi 1 527 855 zł, zaś wobec podmiotu przetwarzającego (ITCenter) 20 037 zł. Powodem wszczęcia postępowania przez organ nadzorczy było naruszenie ochrony danych zgłoszone przez administratora w 2020 r., które związane było z omyłkowym udostępnieniem danych osobowych klientów i pracowników administratora przy okazji przebudowy jego strony internetowej. Powodem nałożenia kar było jednak m.in. niewdrożenie przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego w zakresie zapewnienia wystarczających gwarancji wdrożenia takich środków. Jest to kolejna decyzja Prezesa UODO, w której nakłada on kary pieniężne zarówno na administratora, jak i podmiot przetwarzający.
Nieprawidłowości przy przebudowie strony internetowej
Prezes UODO ustalił w toku postępowania, że w 2020 roku PANEK SA, spółka świadcząca usługi w zakresie carsharingu, prowadziła prace nad przebudową swojej strony internetowej. W tym celu spółka skorzystała z usług podwykonawcy, umożliwiając mu pracę na bazach danych administratora. Regulator wskazał, że na skutek braku odpowiedniej komunikacji pomiędzy administratorem a podwykonawcą (podmiotem przetwarzającym), jeden z pracowników tego ostatniego niewłaściwie skonfigurował serwer i w konsekwencji pliki z danymi osobowymi zostały umieszczone tam w taki sposób, że zostały one zaindeksowane przez narzędzia Google. W efekcie, dane osobowe klientów i pracowników spółki stały się dostępne dla wszystkich użytkowników Internetu.
Duża skala naruszenia
Z ustaleń regulatora wynika, że naruszenie dotyczyło aż 21 453 osób, w tym zarówno klientów, jak i pracowników ukaranej spółki. Wśród danych osobowych objętych wyciekiem znajdowały się m.in. imię, nazwisko, adres e-mail czy adres zamieszkania. Prezes UODO uznał w swojej decyzji, że zdarzenie było konsekwencją naruszenia przepisów RODO, w szczególności niewdrożenia odpowiednich środków technicznych i organizacyjnych oraz braku odpowiedniej współpracy między administratorem, a podmiotem przetwarzającym. Organ nadzorczy zarzucił administratorowi, że ten nie testował i nie oceniał skuteczności wprowadzonych rozwiązań. Ponadto regulator wskazał, że ukarany administrator nie nadzorował prawidłowości działań podejmowanych przez podmiot przetwarzający oraz nie dokonał odpowiedniej weryfikacji podmiotu przetwarzającego w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych.
Ważne wnioski na przyszłość
To już kolejna decyzja Prezesa UODO, w której organ nadzorczy podkreśla, jak ważne jest wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, zarówno i przede wszystkim przez administratora, ale również przez podmiot przetwarzający. Trzeba bowiem pamiętać, że odpowiedzialność podmiotu przetwarzającego – choć wydaje się nieco mniejsza niż odpowiedzialność administratora – istnieje i może przybrać, a w ostatnich rozstrzygnięciach regulatora przybiera, postać kar pieniężnych. Decyzja Prezesa UODO pokazuje również, jak ważna jest właściwa komunikacja między administratorem i podmiotem przetwarzającym oraz, czemu administrator zobowiązany jest do dokonania odpowiedniej weryfikacji podmiotu przetwarzającego w zakresie zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Brak tych działań może bowiem zwiększyć ryzyko wystąpienia incydentów i naruszeń ochrony danych, a w przypadku ich wystąpienia zwiększyć ryzyko naruszenia praw i wolności najważniejszych aktorów systemu ochrony danych osobowych, czyli osób, których dane dotyczą.
Źródło: