Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/29

Kraj:

Polska

Data wydania decyzji:

22.04.2021 r.

Podmiot kontrolowany:

Cyfrowy Polsat S.A.

Wysokość kary (EUR):

245.000

Podstawa prawna naruszenia

Art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Cyfrowy Polsat S.A. naruszył przepisy dotyczące ochrony danych osobowych, nie wdrażając odpowiednich środków technicznych i organizacyjnych, które zapewniałyby bezpieczeństwo przetwarzanych danych osobowych. Naruszenia te polegały głównie na niewłaściwym zarządzaniu danymi osobowymi klientów podczas współpracy z firmą kurierską, co skutkowało utratą lub niewłaściwym doręczeniem dokumentów zawierających dane osobowe.

 

Opis wydarzeń

  1. Zgłoszenia naruszeń: Cyfrowy Polsat regularnie zgłaszał Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenia ochrony danych osobowych, które miały miejsce w wyniku działań firmy kurierskiej. Naruszenia te obejmowały m.in. utratę dokumentów przez kurierów lub wydanie ich niewłaściwej osobie.
  2. Analiza zgłoszeń: Prezes UODO po przeanalizowaniu zgłoszeń zwrócił się do Spółki o złożenie wyjaśnień w przedmiotowej sprawie. Spółka w odpowiedzi na pismo wyjaśniła, iż została zapewniona przez przewoźnika o bieżącym monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub zminimalizowanie tego typu przypadków naruszeń. Spółka wyjaśniała również na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych.
  3. Typy naruszeń: Spółka wyodrębniła trzy typy naruszeń:
    • zdarzenia dotyczące wydania przesyłki osobie trzeciej, gdzie w większości przypadków osobą trzecią jest członek najbliższej rodziny zamieszkały pod wspólnym adresem z klientem,
    • zagubienie dokumentów przez firmę kurierską,
    • kradzież przesyłki ze sprzętem.
  4. Ocena ryzyka: Spółka dokonała szczegółowej oceny ryzyka naruszeń dla każdej z trzech wyżej wymienionych kategorii zdarzeń i na podstawie metodologii ENISA określiła poziom dotkliwości naruszenia ochrony danych dla osób, których dane dotyczą, jako niski. Pomimo tego, zgłaszała te naruszenia ze względu na wytyczne Prezesa UODO, wskazujące na konieczność notyfikowania zdarzeń, które obejmowały nr PESEL, uwzględniając ryzyko jako wysokie.
  5. Odpowiedź Prezesa UODO: Prezes UODO uznał, iż:
    • Spółka w formularzach zgłoszenia wskazywała na wysokie ryzyko naruszenia praw lub wolności osób fizycznych w związku z tymi naruszeniami pomimo dokonywanej przez siebie odmiennej oceny tego ryzyka oraz nie podważała wówczas dokonanej przez Prezesa UODO oceny,
    • Spółka nie dokonywała analizy relacji łączących odbiorcę przesyłki z klientem, a tym samym nie oceniała, czy osoba odbierająca przesyłkę była zaufanym odbiorcą,
    • naruszenie poufności danych, w szczególności danych dotyczących łącznie imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz innych kategorii danych dotyczących łączących strony umów, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą, o naruszeniu jej danych osobowych,
    • Spółka nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań,
    • brak szybkiej reakcji ze strony przewoźnika nie zdejmuje ze Spółki odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych,
    • Spółka powinna wdrożyć odpowiednie rozwiązania umożliwiające weryfikację zobowiązań przewoźnika, np. poprzez bieżące monitorowanie etapu doręczania przesyłek,
    • zapisy wdrożonych polityk i procedur są martwe i nie miały odzwierciedlenia w rzeczywistości, gdyż Spółka nie wdrożyła dostatecznych mechanizmów pozwalających na bieżące monitorowanie przesyłek kurierskich,
    • Spółka nie prowadziła dostatecznego nadzoru naruszeń, co w konsekwencji prowadziło do zawiadamiania osób, których dane dotyczyły, o naruszeniu ich danych osobowych po upływie nawet dwóch czy trzech miesięcy od daty naruszenia.
  6. Kara: W wyniku stwierdzonych naruszeń, Prezes UODO nałożył na Cyfrowy Polsat administracyjną karę pieniężną w wysokości 1 136 975 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie skutecznych środków technicznych i organizacyjnych: Wdrożenie efektywnych środków technicznych i organizacyjnych, które zapewniają szybką identyfikację i zgłaszanie naruszeń ochrony danych osobowych.
  2. Regularne przeglądy i aktualizacje: Regularne przeglądy i aktualizacja wdrożonych środków bezpieczeństwa, aby były one zgodne z obowiązującymi przepisami i skutecznie chroniły dane osobowe.
  3. Szkolenia dla pracowników: Regularne szkolenia dla pracowników i współpracowników w zakresie ochrony danych osobowych, aby zwiększyć ich świadomość i umiejętności w tym obszarze.
  4. Współpraca z firmą kurierską: Ścisła współpraca z firmą kurierską, aby zapewnić, że wszystkie procedury dotyczące ochrony danych osobowych są przestrzegane i skutecznie realizowane.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO