Druga kara z RODO

Druga kara za naruszenie RODO – 55 tysięcy złotych. O co chodzi?

Ostatnio wybuchł drugi pożar – druga kara za naruszenie RODO. Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 55 tysięcy złotych. Za co? Dlaczego do tego doszło? Jakie dane naruszono? O tym w dzisiejszym wpisie.

Jeśli wolisz oglądać i słuchać niż czytać, to zapraszam Cię do zapoznania się z #LegalnąKawą nr 55 poniżej. Po prostu kliknij play i rozpocznij oglądanie.

Opublikowany przez Ilona Przetacznik – Managerka Umów Środa, 22 maja 2019

O czym mówię podczas #LegalnejKawy?

  • Do jakiego naruszenia doszło?
  • Co groziło osobom, których dane ujawniono?
  • Jakie przepisy naruszono?
  • Jaką karę nałożono?
  • Co miało wpływ na wymiar kary?
  • Czy były jakieś okoliczności łagodzące?
  • Co zrobił administrator, a czego nie zrobił żeby uniknąć drugiej kary za naruszenie RODO?
  • Co powinien zrobić administrator w momencie naruszenia?
  • Jakie wnioski z tej decyzji można zastosować w swoim biznesie?

Jeśli jednak wolisz czytać to poniżej zamieszczam krótkie streszczenie (to nie jest transkrypcja).

Do jakiego naruszenia doszło?

Organ nadzorczy – PUODO (Prezes Urzędu Ochrony Danych Osobowych) nałożył na Dolnośląski Związek Piłki Nożnej karę w wysokości 55 750, 50 zł. Daje to równowartość 13 000 euro. Jest to już druga kara za naruszenie RODO. O pierwszej karze w wysokości prawie 1 miliona złotych mówiła TUTAJ.

W decyzji wskazano, że doszło do naruszenia art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b, art. 32 ust. 2 RODO. Na czym ono polegało?

Naruszenie polegało na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencję sędziowskie w 2015 roku. Związek piłkarski ujawnił na swojej publicznej stronie internetowej dane osobowe 585 sędziów, czyli:

  • imię
  • nazwisko
  • adres zamieszkania
  • PESEL

Według PUODO ujawnił on zbyt wiele danych, które rodziły konkretne ryzyko dla sędziów.

Jak Urząd dowiedział się o naruszeniu?

Naruszenie ochrony danych osobowych zgłosił sam związek piłkarski. Było to postępowanie prawidłowe i zgodne z przepisami RODO.

W zgłoszeniu wskazał, że naruszenie trwało od października 2015 r. do lipca 2018 r. i było niezamierzone. Powiadomi też osoby, których te dane dotyczą o naruszeniu.

Dodatkowo, jedna z osób, których danych dotyczyło naruszenie, złożyła skargę do organu.

Co powinno zawierać powiadomienie osób o naruszeniu?

Powiadomienie sędziów powinno jednak spełnić określone wymogi zawarte w art. 34 RODO, którym nie spełniło.

Nie zawierało ono zaleceń odnośnie zminimalizowania potencjalnie negatywnych skutków zaistniałego naruszenia ani zaleceń odnośnie wyeliminowania podobnych nieprawidłowości w przyszłości.

Związek piłkarski poprawił te elementy jednak dane nadal mogły zostać odnalezione w Internecie…

Jakie ryzyko groziło osobom, których dane ujawniono?

Ryzyko było duże. Jeśli ktoś posiada imię, nazwisko, adres zamieszkania i PESEL to wystarczy, żeby wziąć np. kredyt na tę osobę.

Jeśli chodzi też o “branżę” piłkarską i traktowanie sędziów przez kibiców (albo pseudokibiców), gdy wydadzą decyzję na boisku niezgodną z ich zdaniem, może dojść do bardzo niebezpiecznych sytuacji. Ja osobiście, wyobrażam sobie, że pseudokibice mogą nawet grozić takiej osobie, a dzięki informacjom udostępnionym przez związek piłkarski wiedzieli, gdzie taki sędzia mieszka…

PUODO wskazał wyraźnie, że istniało “ryzyko wykorzystania tych danych w celach bezprawnych np. do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzenia ich prawami”.

Co miało wpływ na wymiar kary?

Wydawałoby się, że związek piłkarski zrobił wiele, żeby sprawę załatwić zgodnie z prawem i zabezpieczyć dane sędziów.

Niestety, PUODO uznał inaczej i to wynika ze stanu faktycznego. Oto kilka elementów, które miały wpływ na wymiar kary:

  1. Związek piłkarski podjął działania mające na celu usunięcie plików z danymi z wyszukiwarek, zatrudniając do tego zewnętrzną firmę informatyczną. Firma ta jednak dokonała tego nieskutecznie, pomimo dwóch prób!
  2. Konsekwencje wyboru złego podwykonawcy ponosi administrator. To on nie zachował należytej staranności przy wyborze firmy. Nie sprawdził też czy usługa została wykonana prawidłowo.
  3. Związek piłkarski nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo danych odpowiadające ryzyku udostępnienia ich na stronie internetowej. W rezultacie dane te były dostępne aż do stycznia 2019 r. Działania zaradcze były więc ograniczone, a te podjęte nieskuteczne.
  4. Naruszenie ma znaczną wagę i poważny charakter, gdyż stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób.
  5. Związek piłkarski jest podmiotem profesjonalnym, więc ciąży na nim większa odpowiedzialność i wymagania związane z przetwarzaniem danych.
  6. Naruszenie może spowodować krzywdę sędziów (szkodę niematerialną).
  7. Związek piłkarski nie stosuje zatwierdzonych kodeksów postępowania ani mechanizmów certyfikacji.
  8. Naruszenie nie dotyczyło danych wrażliwych, jednak ich zakres dawał możliwość dokładnej identyfikacji osoby.
  9. Danych było sporo i uznano, że jest to już “duża skala”.

Jakie były okoliczności łagodzące?

Kara nałożona przez PUODO jest wysoka, ale mogła być wyższa. Pojawiły się jednak okoliczności łagodzące. Jakie?

  1. Dobra współpraca związku piłkarskiego z PUODO w trakcie trwania postępowania.
  2. Brak dowodów na osiągnięcie korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem.
  3. Usunięcie naruszenia w trakcie postępowania przed organem.
  4. Działalność niezarobkowa prowadzona przez związek piłkarski.
  5. Brak dowodów na istnienie szkód dla osób, których dane zostały ujawnione.

Co było najistotniejsze przy nakładaniu kary pieniężnej?

Przede wszystkim, poważny charakter naruszenia, polegający na tym, że pomimo stwierdzonego naruszenia związek piłkarski nie zastosował skutecznych środków, które uniemożliwiłyby dostęp do danych 585 osób. Wpływ miał również czas trwania naruszenia, biorąc pod uwagę moment zgłoszenia.

Związek nie dochował należytej staranności, bo nie sprawdził czy publikacja została usunięta ze strony. Co gorsze, złożył PUODO oświadczenie, że usunięcie zostało dokonane.

Kara powinna być odstraszająca, skuteczna i proporcjonalna i z pewnością taka będzie w tym wypadku…

Więcej o karze możesz przeczytać lub posłuchać w tym wpisie blogowym:

Co związek piłkarski mógł zrobić lepiej?

Wydawać by się mogło, że nic, że administrator, którym jest związek piłkarski dopełnił wszystkich formalności. Przecież zgłosił naruszenie, które było nieumyślne, powiadomił osoby sędziów, współpracował z Prezesem, zlecił zewnętrznej firmie usuniecie danych…

Niestety, na każdym z tych etapów pojawiły się nieprawidłowości. I to zaważyło na karze.

Jakie są więc wnioski dla Twojego biznesu z tego postępowania?

  • wdrożyć RODO u siebie
  • wdrożyć odpowiednie procedury
  • minimalizować udostępniane dane
  • dwa razy sprawdzać podwykonawców
  • współpracować z organem
  • zgłosić naruszenie zgodnie z przepisami
  • powiadomić osoby, których dane naruszono zgodnie z przepisami
  • natychmiast usunąć skutki naruszenia i zastosować środki zaradcze.

Napisz w komentarzu co sądzisz o tej drugiej karze? Wysoka czy niska? Powinna się pojawić czy też nie?

A jeśli jeszcze nie wdrożyłeś RODO w swojej działalności, a przetwarzasz dane osobowe to koniecznie zajrzyj do Pakietu RODO MUST HAVE TUTAJ.

Wszystkiego Legalnego!

Ilona Przetacznik

Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.