Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Cyfrowy Polsat S.A. art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie. Spółką została ukarana administracyjną karą pieniężną w wysokości 1 136 975 zł.
Jaki błąd popełnił Cyfrowy Polsat?
Jak możemy przeczytać w decyzji PUODO, Cyfrowy Polsat często zgłaszał do Urzędu naruszenia polegające „m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów”.
Urząd szczegółowo analizował zgłaszane naruszenia, a także wskazał spółce, że przedmiotowe naruszenia będą podlegały dalszej i ciągłej analizie porównawczej z ewentualnymi naruszeniami dokonywanymi w przyszłości celem ustalenia skuteczności podjętych środków mających na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia.
Podczas kolejnych analiz zgłoszeń naruszeń ochrony danych osobowych związanych ze współpracą Spółki z podmiotem świadczącym usługi kurierskie Urząd zwrócił uwagę na wzrost liczby zgłoszeń naruszeń tego typu w czerwcu 2020 r., w porównaniu z okresem od stycznia do maja 2020 r. Ponadto czas od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do daty jego stwierdzenia przez Spółkę i w konsekwencji zawiadomienia osób, których dane dotyczą, wzbudził wątpliwości Urzędu. Zgłoszenia dokonywane przez Spółkę w poddanym analizie okresie czerwca 2020 r. dotyczyły m.in. zdarzeń powodujących naruszenia ochrony danych osobowych z lutego oraz stycznia 2020 r., a nawet zdarzeń z 2019 r.
Z związku z analizą ww. zgłoszeń i wątpliwościami, jakie pojawiły się po stronie Urzędu, Prezes UODO w lipcu 2020 r. zwrócił się do Spółki o przekazanie informacji i wskazanie:
- „działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę w II kwartale 2020 r. w sprawach naruszeń mających związek z dostarczaniem przesyłek przez firmy kurierskie;
- czy, a jak tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą;
- czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa oraz wolności osób, których dane dotyczą, jak tak, to jakie były wyniki ww. analizy”.
W lipcu 2020 r. Spółka udzieliła wyjaśnień PUODO, z których wynikało, że:
- przewoźnik zapewnia bieżące monitorowanie skali naruszeń,
- przewoźnik podejmuje działania mające na celu wyeliminowanie lub co najmniej zminimalizowanie tego typu przypadków naruszeń,
- prowadzi na bieżąco rozmowy z przewoźnikiem dotyczące przypadków zaginięcia przesyłek,
- wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych. Spółka wyjaśniła dodatkowo, że istotny wpływ na terminowość zgłoszeń naruszeń ochrony danych osobowych dotyczących przedmiotowego postępowania w zakresie weryfikacji poprawności obsługi procesu dokumentów zwrotnych miał okres trwającej pandemii,
- w przedmiocie naruszeń polegających na doręczeniu dokumentów osobom trzecim, jak wynika z wyjaśnień przewoźnika, osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą.
Co było podstawą wymierzenia kary?
Zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych, przepisów RODO w zakresie:
Niewdrożenia odpowiednich środków technicznych i organizacyjnych, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co stanowi naruszenie art. 34 ust. 1 RODO.
Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi naruszenie art. 31 RODO.
Prezes UODO ocenił, że pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarana Spółka nieprawidłowo realizowała nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń.
Ponadto Spółka powinna wprowadzać i egzekwować nowe rozwiązania, które:
- ograniczyłyby liczbę naruszeń,
- umożliwiły szybsze ich identyfikowanie.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Spółce naruszeń przepisów rozporządzenia 2016/679. Zdaniem PUODO zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.
Pełna treść decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020
Nina Kowalik
Kancelaria Wyrzykowscy