W 2020 roku Prezes Urzędu Ochrony Danych Osobowych ustanowił 10 decyzji o karach pieniężnych w stosunku do podmiotów, które naruszyły zasady zawarte w RODO. Najniższa z nich wynosiła 5 000 zł, natomiast najwyższa prawie 2 mln zł. Głównymi przyczynami decyzji  o ukaraniu podmiotu był brak współpracy z Prezesem UODO, utrudnianie przeprowadzenia kontroli oraz brak stosowania wystarczających środków technicznych i organizacyjnych przez ukarany podmiot.

KARY PIENIĘŻNE UODO W 2020

1. Kara dla: Szkoły Podstawowej nr 2 z Gdańska

Wysokość kary: 20 000 zł
Kiedy: 18.02.2020*
* Podane daty są datami wydania decyzji przez PUODO
Za co?
Wykorzystywanie danych nadmiarowych bez wyraźnej podstawy prawnej. Naruszenie polegało na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki.
Jak do tego doszło?
Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów, np. za pomocą imienia i nazwiska.

Najważniejszy wniosek:
Obowiązkowo analizuj, czy przetwarzanie danych jest konieczne i zgodne z prawem do osiągnięcia wyznaczonego celu. Przetwarzaj tylko te dane, które są niezbędne.

W tej sprawie należy podkreślić, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnionego dziecka do odebrania obiadu. Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują w prywatność dziecka.

2. Kara dla: Vis Consulting Sp. z o.o. z siedzibą w Katowicach

(branża telemarketingowa)

Wysokość kary: 20 000 zł
Kiedy: 09.03.2020
Za co?  Uniemożliwienie przeprowadzenia kontroli
Jak do tego doszło?
Spółka dwukrotnie uniemożliwiła przeprowadzenie kontroli Prezesa UODO. Ponadto, w dniu, w którym kontrolerzy próbowali po raz trzeci skontrolować Vis Consulting Sp. z o.o., jej władze podjęły uchwałę o likwidacji spółki. W ocenie Prezesa Urzędu spółka ta nie realizuje obowiązków, związanych z przetwarzaniem danych osobowych, oraz celowo unika poddania się kontroli Organu Nadzorczego.

Najważniejszy wniosek:
Nie warto utrudniać dostępu do danych i informacji podczas trwania czynności kontrolnych UODO.
Lekceważenie obowiązków, związanych ze współpracą z Prezesem UODO, prowadzi do przedłużania prowadzonych przez niego postępowań. Tym samym utrudniona zostaje realizacja praw osób, których dane osobowe są naruszone.

3. Kara dla: East Power z Jeleniej Góry

(spółka zajmująca się pośrednictwem pracy na terenie Polski i Niemiec)

Wysokość kary: 15 000 zł 
Kiedy: 29.05.2020
Za co? Brak zapewnienia Organowi Nadzorczemu dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.
Jak do tego doszło? Skargę na działania spółki złożył obywatel Niemiec z powodu przetwarzania jego danych osobowych w celach marketingowych. Prezes UODO trzykrotnie skierował do spółki wezwania do złożenia wyjaśnień. Na dwa z nich spółka nie odpowiedziała. Na ostanie z wezwań udzielono odpowiedzi, jednak wyjaśnienia te zostały uznane za niepełne i wewnętrznie sprzeczne. Prezes UODO uznał, że spółka celowo utrudnia przeprowadzenie postępowania.

Najważniejszy wniosek:
Ponownie podkreślamy, że nie warto utrudniać dostępu do danych i informacji podczas trwania czynności kontrolnych UODO.

4. Kara dla: indywidualnego przedsiębiorcy prowadzącego niepubliczny żłobek i przedszkole

Wysokość kary: 5 000 zł 
Kiedy: 03.06.2020
Za co? Przedsiębiorca prowadzący placówkę nie zapewnił Prezesowi UODO dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań – w tym przypadku do oceny, czy administrator zawiadomił o naruszeniu osoby, których dane dotyczą, w sposób zgodny z przepisami RODO.
Jak do tego doszło?
Przedsiębiorca zgłosił do Prezesa UODO naruszenie ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu. Organ nadzorczy, chcąc uzyskać niezbędne informacje do oceny naruszenia, trzykrotnie skierował wezwanie do złożenia stosownych wyjaśnień. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wspomniane wezwania.

Najważniejsze wnioski:
Obowiązkiem przedsiębiorcy jest odbieranie korespondencji związanej z prowadzoną działalnością. Administrator i podmiot przetwarzający zobowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań.

5. Kara dla: Głównego Geodety Kraju (GGK)

(pierwsza kara)

Wysokość kary: 100 000 zł
Kiedy: 02.07.2020
Za co? Utrudnienia podczas kontroli oraz brak współpracy z Prezesem UODO.
Jak do tego doszło?
Podczas przeprowadzania kontroli GGK nie zapewnił Organowi Nadzorczemu dostępu do wszystkich pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i innych informacji. Ponadto GGK nie podjął współpracy podczas kontroli z Prezesem UODO, co należało do jego obowiązku.

6. Kara dla: Głównego Geodety Kraju (GGK)

(druga kara)

Wysokość kary: 100 000 zł
Kiedy: 24.08.2020
Za co?  Naruszanie zasad ochrony danych osobowych poprzez bezpodstawne zamieszczenie na portalu „Geoportal2” danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków.
Jak do tego doszło?
GGK publikował informacje pozyskane z ewidencji gruntów i budynków z 90 starostw powiatowych na podstawie zawartych z nimi porozumień. Takiego porozumienia nie można uznać za podstawę prawną ww. działania, a więc przetwarzanie tych danych było niezgodne z obowiązującym prawem. Należy zaznaczyć, że numery ksiąg wieczystych stanowią dane osobowe (znając taki numer możemy zidentyfikować osobę, której te dane dotyczą).

Najważniejszy wniosek:
Dane osobowe należy przetwarzać zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą. O zgodności z prawem możemy mówić, gdy została spełniona przynajmniej jedna podstawa prawna przetwarzania danych osobowych (zgodnie z art. 6 RODO).

7. Kara dla: Szkoła Główna Gospodarstwa Wiejskiego (SGGW) w Warszawie

Wysokość kary: 50.000 zł
Kiedy: 21.08.2020
Za co? Naruszenie zasady poufności i rozliczalności oraz zasady ograniczenia przechowywania. Ponadto brak wdrożenia odpowiednich środków technicznych i organizacyjnych.
Jak do tego doszło?
W listopadzie 2019 skradziono prywatny komputer przenośny pracownika uczelni. Urządzenie to było wykorzystywane również do celów służbowych, były na nim przechowywane dane osobowe kandydatów na studia w SGGW z ostatnich 5 lat. Okres przechowywania danych kandydatów został wyznaczony na 3 miesiące po zakończonej rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania, jaka została określona w RODO. Ponadto, administrator danych osobowych nie prowadził rejestru tej operacji oraz jej bieżącego monitoringu.  

Najważniejszy wniosek:
Obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Zabezpieczenia te powinny być na bieżąco monitorowane  i aktualizowane względem obowiązujących przepisów bądź zmieniającej się technologii.

8. Kara dla: Virgin Mobile Polska

Wysokość kary: 1.900.000 zł
Kiedy: 03.12.2020
Za co? Brak wdrożenia odpowiednich środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych; naruszenie zasad poufności danych i rozliczalności zawartych w RODO.
Jak do tego doszło?  
Na skutek ataku hackerskiego doszło do pozyskania przez osobę nieuprawnioną danych niektórych klientów spółki. Przeprowadzona kontrola ujawniła m.in. brak przeprowadzania regularnych i kompleksowych testów, pomiarów i ocen skuteczności środków, mających na celu zapewnienie bezpieczeństwa przetwarzanych danych. Stwierdzono także brak przeprowadzania testów weryfikujących zabezpieczenia, związane z przekazywaniem danych między aplikacjami, służącymi do obsługi osób kupujących usługi. 

Najważniejszy wniosek:
Nie jest wystarczające przeprowadzanie testów bezpieczeństwa (monitoring) tylko w przypadku, gdy pojawiają się podejrzenia o wystąpieniu naruszenia danych osobowych. Nadzór nad poprawnością i bezpieczeństwem przetwarzanych danych osobowych w firmie powinien być przeprowadzany regularnie i z należytą starannością.

9. Kara dla: Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.

Wysokość kary: 85 588 zł
Kiedy: 09.12.2020
Za co? Brak zawiadomienia o naruszeniu ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, w odpowiednim czasie. Brak zastosowania odpowiednich środków technicznych i organizacyjnych.
Jak do tego doszło?  
Naruszenie polegało na przesłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata. Naruszenie dotyczyło dwóch osób. Spółka tłumaczyła, że naruszenie powstało na skutek błędu samego klienta, który wskazał błędny adres poczty elektronicznej, dlatego uznała to naruszenie za mało istotne i nie zgłosiła go do UODO.

UODO wydał opinie, w której podkreślił, że błąd klienta nie może wpływać na brak zastosowania środków technicznych i organizacyjnych, mogących ograniczyć potencjalne zdarzenia i zapobiec naruszeniom. W omawianym przypadku takim odpowiednim, a zarazem najprostszym zabezpieczeniem danych osobowych jest szyfrowanie dokumentów, zawierających dane osobowe, przed załączeniem ich do korespondencji mailowej.

10. Kara dla: ID Finance Poland

(właściciela portalu pożyczkowego MoneyMan.pl)

Wysokość kary: 1.069.850 zł
Kiedy: 17.12.2020
Za co? Naruszenie zasady poufności danych. Brak wdrożenia wystarczających zabezpieczeń – środków technicznych i organizacyjnych. Brak odpowiedniej, szybkiej reakcji na potencjalne naruszenie.
Jak do tego doszło?
Po restarcie jednego z serwerów nie przywrócono odpowiedniej konfiguracji zabezpieczeń, co sprawiło, że dane osobowe stały się dostępne publicznie. Firma zignorowała wiadomość od specjalisty (zajmującego się cyberbezpieczeństwem), w której sygnalizował o wykrytych nieprawidłowościach w zabezpieczeniach serwerów. W konsekwencji niepodjęcia odpowiednich działań, osoba nieuprawniona włamała się do serwera, skopiowała a następnie skasowała dane klientów portalu. Za zwrot skradzionych informacji zażądała okupu.  

KARY UPOMNIENIA

1. Kara dla: spółki zajmującej się gospodarką odpadami 

Wysokość kary: Kara upomnienia
Kiedy: 12.11.2020
Za co?  Za publiczne ujawnienie listy, zawierającej adresy zamieszkania osób, które są na kwarantannie oraz w izolacji.
Jak do tego doszło?
Do naruszenia poufności przetwarzanych danych doszło przy wykonywaniu obowiązków pracowniczych osoby odpowiedzialnej za nadzór nad wydrukowanym, pozostawionym na biurku bez należytego nadzoru wykazem. W tym czasie inny pracownik utrwalił wykaz w postaci zdjęcia i udostępnił niepowołanej osobie. Spółka miała obowiązek zgłoszenia zaistniałego naruszenia Prezesowi UODO, czego jednak nie uczyniła. Spółka nie zawiadomiła również osób, których dane dotyczyły, o naruszeniu ochrony danych osobowych, pomimo wysokiego ryzyka naruszenia praw lub wolności tych osób.

2. Kara dla: Zespół Szkół Ogólnokształcących

Wysokość kary: Kara upomnienia
Kiedy?: 30.06.2020
Za co: Przetwarzanie bez podstawy prawnej danych osobowych uczniów przez szkołę w związku z przeprowadzeniem wśród nich wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”. 
Jak do tego doszło: Badania ankietowe dotyczyły sytuacji osobistej uczniów. Zawierały takie informacje jak:  nazwiska uczniów, oznaczenie klasy, informacji o stanie rodziny, a także informacje o  opiekunach prawnych, ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych czy sytuacji mieszkaniowej.

W toku kontroli UODO ustalono, że ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają. Informacje, zawarte w ankietach, nie zostały utrwalone.

Najważniejszy wniosek:
Dane osobowe muszą być przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą.

---

Zastanów się nad poniższymi pytaniami:

Czy warto narażać swój biznes na takie kary?
Dlaczego większość przedsiębiorców nie przywiązuje dużej wagi do wdrożenia i stosowania odpowiednich zabezpieczeń ?

Sprawdź, jak możemy Ci pomóc chronić dane osobowe i uniknąć konsekwencji:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/

Z nami RODO jest proste!