Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 23 czerwca 2022 r.

DECYZJA

DKN.5131.14.2022

Na podstawie art. 104 §  ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.), art. 7 ust. 1 i art. 60 ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 it. a) i h) oraz art. 58 ust. 2 it. b) w związku z art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE  119 z 4.05.2016, str. 1, Dz. Urz. UE  127 z 23.05.2018, str. 2 oraz Dz. Urz. UE  74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nieprawidłowego zawiadomienia przez A. S.A. z siedzibą w W., o naruszeniu ochrony danych osobowych osób, których dotyczyło to naruszenie, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez A. S.A. z siedzibą w W., art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE  119 z 4.05.2016, str. 1, Dz. Urz. UE  127 z 23.05.2018, str. 2 oraz Dz. Urz. UE  74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, udziela A. S.A. z siedzibą w W., upomnienia.

Uzasadnienie

W dniu […] maja 2021 r. A. S.A. z siedzibą w W., zwana dalej Spółką ub Administratorem, dokonała Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej Prezesem UODO, zgłoszenia naruszenia ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą […]. Naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu do służbowego konta poczty elektronicznej pracownika Spółki. Analiza zdarzeń pozwoliła wskazać, że doszło do nieautoryzowanej penetracji skrzynki użytkownika, przy użyciu protokołów […] i […] – przy wykorzystaniu jego oginów i haseł, w wyniku czego doszło do naruszenia poufności przetwarzanych danych osobowych. Administrator ustalił w szczególności, że dane 12 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię, nazwisko, adres zamieszkania / adres korespondencyjny, nr PESEL oraz numer dokumentu tożsamości (dowód osobisty / paszport), dane 7 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię i nazwisko, numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu) i numer PESEL, dane 2 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię, nazwisko, numer PESEL, adres zamieszkania / adres korespondencyjny, dane 1 osoby obejmowały imię nazwisko, adres zamieszkania / korespondencyjny, numer dokumentu tożsamości (dowód osobisty / paszport / karta pobytu), dane 1 osoby obejmowały imię, nazwisko, datę urodzenia, numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu) oraz adres e-mail. W przypadku 6 osób, których dotyczyło naruszenie, dane obejmowały imię, nazwisko oraz numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu).

W ww. zgłoszeniu Administrator poinformował, że dokonał zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, a także przedstawił zanonimizowaną treść zawiadomienia, które skierował do tych osób.

W wyniku analizy treści ww. zawiadomienia, Prezes UODO uznał, że pierwotne zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych nie zawierało wymaganych stosownie do art. 34 ust. 2 rozporządzenia 2016/679 informacji, tj. opisu charakteru naruszenia ochrony danych osobowych, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych ub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych ub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Mając powyższe na uwadze, Prezes UODO, działając w trybie art. 52 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 34 ust. 4 rozporządzenia 2016/679, zwrócił się w dniu […] czerwca 2021 r. do Administratora o podjęcie stosownych działań mających na celu niezwłoczne, ponowne i prawidłowe, tj. obejmujące wszystkie ww. i wymagane prawem elementy, zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz wyeliminowanie podobnych nieprawidłowości w przyszłości. Ponadto, Prezes UODO poinformował Administratora, z jakimi przykładowymi zagrożeniami dla praw ub wolności osób, których dane dotyczą, wiąże się naruszenie poufności ich danych osobowych w przedstawionym powyżej zakresie oraz przekazał Spółce informację w przedmiocie zaleceń, jakie powinna ona przekazać osobom, których dane dotyczą, aby osoby te mogły w sposób skuteczny zabezpieczyć się przed negatywnymi skutkami naruszenia ochrony swoich danych osobowych.

W odpowiedzi na otrzymane wystąpienie Spółka pismem z dnia […] ipca 2021 r. przesłała wyjaśnienia, w których poinformowała o ponownym zawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przedstawiła siedem rodzajów zawiadomień, skierowanych do ww. osób, w zależności od zakresu danych osobowych objętych naruszeniem. Analiza ww. zawiadomień wykazała jednak, że Administrator nadal nie zawarł w nich wszystkich wymaganych elementów, stosownie do art. 34 ust. 2 rozporządzenia 2016/679, tj. opisu charakteru naruszenia ochrony danych osobowych uwzgledniającego kategorie danych osobowych objęte naruszeniem, opisu możliwych konsekwencji naruszenia ochrony danych osobowych (Spółka poprzestała jedynie na ogólnych sformułowaniach takich jak np. „W ramach analizy naruszenia jako główne ryzyka określono: kradzież tożsamości, nadużycia finansowe, oraz straty finansowe, niechciana komunikacja marketingowa, próby phishingu”) oraz imienia i nazwiska inspektora ochrony danych.

Wobec powyższego, Prezes UODO wszczął z urzędu postępowanie administracyjne w sprawie możliwości naruszenia przez Spółkę obowiązków wynikających z art. 34 ust. 2  rozporządzenia 2016/679, w związku z nieprawidłowym zawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych (pismo z dnia […]  marca 2022 r., sygn.[…]).

W odpowiedzi na skierowane przez Prezesa UODO w tej sprawie zawiadomienie, Spółka w piśmie z dnia […] marca 2022 r. poinformowała, że w tym dniu, tj. […] marca 2022  r., dokonała, z wykorzystaniem poczty elektronicznej, tradycyjnej oraz bezpośrednio, ponownego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przedstawiła dowody potwierdzające podjęte przez siebie czynności, w tym zanonimizowaną treść zawiadomienia skierowanego do ww. osób. Analiza treści tego zawiadomienia wykazała, że zawiera ono wszystkie elementy wskazane w art. 34 ust. 2rozporządzenia 2016/679.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 34 ustawy o ochronie danych osobowych, Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 it. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego ub innego organu publicznego.

Z kolei w myśl art. 4 ust. 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna ub prawna, organ publiczny, jednostka ub inny podmiot, który samodzielnie ub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii ub w prawie państwa członkowskiego, to również w prawie Unii ub w prawie państwa członkowskiego może zostać wyznaczony administrator ub mogą zostać określone konkretne kryteria jego wyznaczania.

Stosownie do art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw ub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 it. b), c) i d), tj. zawiera imię i nazwisko oraz dane kontaktowe inspektora ochrony danych ub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisuje możliwe konsekwencje naruszenia ochrony danych osobowych oraz opisuje środki zastosowane ub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W wyniku przeprowadzonej analizy przedmiotowego naruszenia ochrony danych osobowych, w której wzięto pod uwagę charakter naruszenia, czas jego trwania, kategorie danych, iczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze - Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących numeru PESEL wraz z imieniem i nazwiskiem, numerem dowodu osobistego oraz adresem zamieszkania ub pobytu, powoduje wysokie ryzyko naruszenia praw ub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych i przekazanie wszystkich informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679.

Podkreślić należy, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw ub wolności osób fizycznych administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osoby, których dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy,
a w przypadkach wysokiego ryzyka naruszenia praw ub wolności również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 do preambuły rozporządzenia 2016/679 wyjaśniono, że „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw ub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ ub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym ub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw ub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw ub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 it. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa,  D. ubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

W świetle powyższego, wskazać należy, iż postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, Administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony ich praw ub wolności. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku administrator nie wywiązał się w sposób prawidłowy. W pierwotnym zawiadomieniu o naruszeniu skierowanym do osób, których dane dotyczą, Spółka nie wskazała bowiem wymaganych, stosownie do art. 34 ust. 2 rozporządzenia 2016/679, elementów, tj. opisu charakteru naruszenia ochrony danych osobowych, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych ub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych ub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W kolejnym zawiadomieniu, wysłanym ww. osobom w dniu […] lipca 2021 r. na skutek skierowanego przez Prezesa UODO wystąpienia na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych oraz art. 34 ust. 4 rozporządzenia 2016/679, ponownie nie wskazano wszystkich wymaganych elementów, tj. opisu charakteru naruszenia ochrony danych osobowych uwzgledniającego kategorie danych osobowych objęte naruszeniem, opisu możliwych konsekwencji naruszenia ochrony danych osobowych (Spółka poprzestała jedynie na ogólnych sformułowaniach takich jak np. „W ramach analizy naruszenia jako główne ryzyka określono: kradzież tożsamości, nadużycia finansowe, oraz straty finansowe, niechciana komunikacja marketingowa, próby phishingu”) oraz imienia i nazwiska inspektora ochrony danych. Wskazanie ww. informacji nastąpiło dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego, kiedy to Spółka w dniu [...] marca 2022 r. skierowała do osób, których dane objęte zostały przedmiotowym naruszeniem, zawiadomienie o naruszeniu ochrony jej danych osobowych zawierające wszystkie określone w art. 34 ust. 2  rozporządzenia 2016/679 informacje. Oznacza to w konsekwencji, że do tego momentu Administrator nie zapewnił osobom, których naruszenie dotyczyło, pełnej informacji o naruszeniu ochrony ich danych osobowych, czym pozbawił je wskazówek co do działań, jakie mogą podjąć by się skutecznie przeciwstawić możliwym negatywnym skutkom naruszenia.

Na podstawie tak zakreślonych okoliczności faktycznych przedmiotowej sprawy czytelnym jest, że w okresie od dnia […] maja 2021 r. (data powzięcia przez Spółkę informacji o naruszeniu) aż do dnia […] marca 2022 r. (data prawidłowego zawiadomienia o naruszeniu) Spółka nie zapewniła osobom, których dane dotyczą, pełnej informacji o naruszeniu ochrony ich danych osobowych, tj. nie przekazała im w przejrzystej i zrozumiałej formie wszystkich wymaganych stosownie do art. 34 ust. 2 rozporządzenia 2016/679 informacji.

Mając na względzie długi czas trwania stanu naruszenia prawa (i to pomimo faktu, iż organ w wystąpieniu z dnia […] czerwca 2021 r. wskazywał Spółce na konieczność podjęcia przez nią bez zbędnej zwłoki odpowiednich działań w celu prawidłowego zawiadomienia osób o naruszeniu) oraz zauważając, że prawidłowe wywiązanie się przez Administratora ze spoczywającego na nim obowiązku właściwego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych nastąpiło dopiero po wszczęciu przez Prezesa UODO postępowania administracyjnego w niniejszej sprawie, z dużą dozą pewności stwierdzić należy, że stan naruszenia prawa trwałby w dalszym ciągu, gdyby nie powyższa reakcja ze strony organu nadzorczego.

Niewłaściwa realizacja przez Spółkę obowiązku wskazanego w art. 34 ust. 2 rozporządzenia 2016/679, poprzez wadliwe zawiadomienie przez Spółkę osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, nie budzi zatem wątpliwości, a późniejsze prawidłowe wykonanie przez Administratora tego obowiązku względem podmiotu danych nie może powodować odstąpienia przez organ nadzorczy od wydania upomnienia, skoro istnienie naruszenia prawa we wzmiankowanym okresie jest niepodważalne.

Niemniej Prezes UODO, realizując swoje uprawnienie na mocy art. 58 ust. 2 it. b) rozporządzenia 2016/679, uznał, że cel niniejszego postępowania, jakim jest przywrócenie stanu zgodnego z prawem, może być jednak osiągnięty poprzez zastosowanie środka o charakterze mniej dolegliwym. W ocenie organu nadzorczego upomnienie Spółki za błędną realizację obowiązków spoczywających na niej, jako administratorze danych w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, stanowi właściwy przejaw realizacji zasady proporcjonalności. W ocenie Prezesa UODO, nałożone upomnienie spełni również swoją funkcję prewencyjną, zapobiegając w przyszłości w sposób należyty naruszeniom przepisów o ochronie danych osobowych tak przez Spółkę, jak i innych administratorów danych.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

2022-07-18 Metadane artykułu
Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację: Jan Nowak 2022-06-23
Wprowadził‚ informację: Wioletta Golańska 2022-07-18 11:50:44
Ostatnio modyfikował: Edyta Madziar 2022-07-21 10:20:14