Kolejna wysoka kara UODO – administrator może odpowiadać za nieprawidłowości procesora

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę na administratora danych osobowych – tym razem w wysokości ponad 1,1 mln zł. Podstawą odpowiedzialności przedsiębiorcy był m.in. brak wdrożenia przez administratora odpowiednich środków organizacyjnych i technicznych we współpracy z podmiotem przetwarzającym.

Okoliczności sprawy   

Przedsiębiorca w ramach prowadzonej działalności gospodarczej na dużą skalę w branży telekomunikacyjnej, wysyłał swoim klientom wzory umów. Zawierały one szereg danych osobowych, w tym m.in. imię, nazwisko, numer i seria dokumentu tożsamości, PESEL. Doręczanie dokumentów, przedsiębiorca jako administrator danych osobowych (ADO), zlecał zewnętrznemu podmiotowi, profesjonalnie zajmującemu się doręczaniem przesyłek kurierskich. Tym samym, administrator powierzał przetwarzanie danych osobowych swoich klientów lub potencjalnych klientów zewnętrznej firmie.

W toku współpracy wielokrotnie zdarzały się nieprawidłowości w doręczaniu przesyłek, spowodowane uchybieniami firmy kurierskiej – paczki zawierające wzory umów były gubione, błędnie doręczone lub kradzione. Administrator zgłaszał ww. incydenty ochrony danych organowi nadzorczemu, po uzyskaniu informacji o naruszeniu, często jednak zbyt późno – kilka miesięcy po wystąpieniu naruszenia.

Dodatkowo, administrator kolejnych nieprawidłowości nie traktował jako incydentów generujących wysokie ryzyka naruszenia praw lub wolności dla osób, których dane zostały skradzione lub zagubione, dlatego osoby te nie były o nich zawiadamiane.

Odpowiedzialność administratora

W ramach prowadzonego przez Prezesa UODO postępowania, organ nadzorczy analizował kolejne zgłoszenia naruszeń danych osobowych dokonywane przez administratora pod kątem przyczyn ich występowania, okoliczności wpływających na ich częstotliwość oraz działań zapobiegawczych podjętych przez administratora. Jako ADO odpowiada on za prawidłowe przetwarzanie danych osobowych, niezależnie od powierzenia przetwarzania danych zewnętrznemu podmiotowi, nawet jeżeli ten podmiot wykonuje swoje obowiązki w ramach profesjonalnie prowadzonej działalności gospodarczej.

Decyzja Prezesa UODO potwierdza odpowiedzialność administratora danych we wszystkich powyższych obszarach.

Wnioski dla wszystkich administratorów danych osobowych

Decyzja Prezesa UODO stanowi w praktyce wytyczne dla pozostałych administratorów danych osobowych, w szczególności:

1. Niezbędne jest prawidłowe zabezpieczenie procesu powierzenia przetwarzania danych osobowych. Trzeba pamiętać, że zlecenie wykonywania usług podmiotowi profesjonalnie zajmującemu się wykonywaniem określonej działalności nie przesądza o wystarczającym poziomie ochrony i nie ogranicza odpowiedzialności administratora. Administrator powinien posiadać skuteczne narzędzia kontroli i nadzoru nad działaniami procesora, wynikające z ustalonych z podmiotem przetwarzającym warunków współpracy. Jednocześnie administrator powinien w praktyce korzystać z przysługujących mu uprawnień;
2. W przypadku powtarzających się incydentów dotyczących danych osobowych, ich administrator odpowiedzialny jest za podjęcie skutecznych działań ograniczających skalę naruszeń, w tym stałe analizowanie i dopasowywanie do okoliczności adekwatnych środków technicznych i organizacyjnych, w prawidłowy sposób zabezpieczających procesy danych osobowych;
3. Rozwiązania dotyczące przepływu informacji o ewentualnych incydentach dotyczących danych osobowych, muszą zapewniać sprawne i skuteczne wykrywanie naruszeń. Jeżeli proces wykrywania naruszeń nie zapewnia administratorowi sprawnego identyfikowania, że naruszenie miało miejsce – stanowi to podstawę odpowiedzialności ADO;
4. Administratorzy danych powinni szczególnie dokładnie oceniać, czy poszczególne incydenty nie są związane z dużym ryzykiem naruszenia praw lub wolności osób, których dane osobowe były niewłaściwie przetwarzane. Wydana decyzja potwierdza, że jeżeli naruszenie dotyczy szerokiego zakresu danych osobowych oraz polega na utracie danych osobowych i braku praktycznej możliwości odzyskania tych danych przez ADO, administrator powinien rozważyć zakwalifikowanie go jako generującego duże ryzyko naruszenia praw i/lub wolności osób, których dane dotyczą.

***

Decyzja Prezesa UODO zbiega się z mającą miejsce kilka dni temu trzecią rocznicą wejścia w życie RODO. Warto w tym miejscu przypomnieć, że obowiązek zapewnienia compliance z RODO, to nie tylko jednorazowy obowiązek, który przedsiębiorcy wypełnili na etapie implementacji rozporządzenia. Praktyka i działanie organu nadzorczego jednoznacznie przypomina, że administratorzy powinni na bieżąco reagować  na nowe okoliczności związane z procesami przetwarzania danych osobowych i cyklicznie audytować prawidłowość funkcjonujących w organizacjach rozwiązań.

Ludmiła Łuczak
Manager | Radca prawny
ludmila.luczak@olesinski.com

Katarzyna Wężyk
Associate | Dział prawny
katarzyna.wezyk@olesinski.com