Co robić, kiedy doszło do naruszenia RODO w sektorze finansowym? Ważne zalecenia PUODO
Prezes Urzędu Ochrony Danych Osobowych („PUODO”) wydał w ostatnim czasie dwie decyzje nakładające administracyjne kary pieniężne na administratorów danych z powodu braku zgłoszenia naruszenia ochrony danych do organu nadzorczego w sytuacjach, gdy było to wymagane.
PUODO sformułował zalecenia co do sposobu przeprowadzania oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Czym jest naruszenie ochrony danych według RODO?
Zgodnie z przepisami RODO, naruszeniem ochrony danych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:
- zniszczenia,
- utracenia,
- zmodyfikowania,
- nieuprawnionego ujawnienia lub
- nieuprawnionego dostępu.
Dotyczy to do danych osobowych:
- przesyłanych,
- przechowywanych lub
- w inny sposób przetwarzanych.
Powszechnie używa się także pojęcia „incydent” na określenie naruszenia ochrony danych.
Jakie są przykłady naruszenia danych?
Często spotykanymi rodzajami naruszeń są:
- tzw. wycieki danych – polegające na uzyskaniu nieuprawnionego dostępu do danych np. przez cyberprzestępców,
- kradzież danych,
- omyłkowe zagubienie danych przez administratora danych (np. zagubienie przesyłki lub komputera).
Co zrobić, kiedy doszło do naruszenia ochrony danych według RODO?
Według RODO każde naruszenie danych należy ocenić pod względem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. W przypadku, gdy ryzyko takie oceniono jako mało prawdopodobne, wystarczy przeprowadzenie wewnętrznego postępowania zgodnie z przyjętymi procedurami.
Najczęściej działania będą polegały na:
- ustaleniu przyczyn naruszenia,
- zastosowaniu środków mających na celu usunięcie skutków naruszenia,
- poprawę zabezpieczeń mającą na celu wyeliminowanie ryzyka ponownego zaistnienia naruszenia – zgodnie z wewnętrznymi procedurami administratora,
- dokonaniu wpisu do rejestru naruszeń ochrony danych.
W przypadku, gdy ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oceniono na poziomie wyższym niż mało prawdopodobne, poza wewnętrznym postępowaniem opisanym powyżej, należy również zawiadomić PUODO. Zawiadomienia należy dokonać w ciągu 72 godzin od jego stwierdzenia.
Gdy naruszenie skutkuje wysokim ryzykiem, konieczne jest także zawiadomienie osoby, której dane dotyczą.
Kluczowe decyzje PUODO w sprawie naruszenia ochrony danych
PUODO wydał w ostatnim czasie dwie decyzje administracyjne z powodu nieprawidłowości, jakich dopuścili się administratorzy danych osobowych w związku z postępowaniem dotyczącym naruszeń ochrony danych.
Przyjrzyjmy się teraz określonym sytuacjom i sprawdźmy jak zostały ocenione przez PUODO.
Utrata przesyłki przez firmę kurierską, a regulacje RODO
W zakresie danych osobowych znajdujących się wewnątrz przesyłki to nadawca pozostaje ich administratorem. Nawet jeżeli utrata przesyłki następuje po stronie firmy kurierskiej, bank jako administrator nie może uciec od odpowiedzialności na gruncie RODO.
Jedna z decyzji PUODO została wydana w stosunku do banku, który przesyłką kurierską wysłał pakiet dokumentów bankowych do klienta. Pakiet ten obejmował następujące dane: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.
Przesyłka została skradziona kurierowi, następnie odnaleziona przez indywidualnego znalazcę, który przekazał ją policji, oświadczając, że nie kopiował treści zawartych w przesyłce dokumentów.
Bank dokonał oceny ryzyka naruszenia praw lub wolności osób, których dane znajdowały się w przesyłce i określił je jako niskie (mało prawdopodobne). W efekcie nie dokonano zgłoszenia naruszenia do PUODO, ani nie powiadomiono podmiotów danych.
Bank uzasadnił niską wagę ryzyka naruszenia praw i wolności podmiotów danych następującymi okolicznościami:
- przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera;
- zweryfikowano, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji;
- osoba ta przyznała, że nie kopiowała dokumentów.
Błędne zaadresowanie przesyłki
Druga decyzja została wydana w stosunku do innego banku. Dotyczyła sytuacji omyłkowego nieprawidłowego zaadresowania przesyłki zawierającej umowę kredytową wraz z harmonogramem spłat – otrzymał ją inny klient banku.
Przesyłka zawierała dane osobowe w zakresie: imienia i nazwiska, numeru rachunku bankowego, adresu zamieszkania, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego. Przesyłka została odebrana i otwarta przez tego klienta. Po tym jak bank wysłał kuriera do osoby będącej w posiadaniu błędnie wysłanej przesyłki, korespondencja została zwrócona do banku.
Bank dokonał oceny ryzyka naruszenia praw lub wolności osób, których dane znajdowały się w przesyłce i określił je jako niskie (mało prawdopodobne). W efekcie nie dokonano zgłoszenia naruszenia do PUODO, ani nie powiadomiono podmiotów danych.
Bank uzasadnił niską wagę ryzyka naruszenia praw i wolności podmiotów danych następującymi okolicznościami:
- naruszenie dotyczyło tylko jednej osoby,
- dokument zawierający dane, został szybko odzyskany,
- przyjęto dobrą wiarę odbiorcy przesyłki – w szczególności ze względu na okoliczność, że osoba ta była klientem banku, poinformowała bank o zdarzeniu oraz współpracowała z bankiem w celu zwrócenia błędnie zaadresowanej przesyłki,
- bank znał dane osobowe odbiorcy przesyłki, co w ocenie banku stanowiło okoliczność, zmniejszającą ryzyko nieuprawnionego wykorzystania przez nią tych danych na szkodę osoby, której dotyczyło naruszenie.
Ale jaka była ocena PUODO?
W obu omawianych decyzjach PUODO zaprezentował stanowisko skupiające się na ochronie praw i wolności osób, których dane dotyczą. Kwestionując oceny dokonane przez administratora, wskazał, że:
- skala i przedmiot działalności banku koncentrują się na świadczeniu usług finansowych bardzo dużej liczbie klientów – bank na szeroką skalę dokonuje przetwarzania danych osobowych,
- doszło do ujawnienia danych związanych z faktem zawarcia umów i ich treścią, co w przypadku danych finansowych jest istotnym czynnikiem podwyższającym ryzyko naruszenia praw i wolności (mimo że nie są to dane szczególnej kategorii),
- nie ma pewności, czy poza osobą, która znalazła lub otrzymała przedmiotowe dokumenty, z dokumentami tymi nie zapoznały się z inne osoby oraz czy dane nie zostały skopiowane.
PUODO podkreślił, że:
„Ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (…) powinna być, jak należy raz jeszcze podkreślić, dokonana przez pryzmat osoby dotkniętej naruszeniem.”
A także
„Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby, której dane dotyczą, a nie interesów administratora.”
Pełna treść decyzji wraz z argumentacją banków i PUODO dostępne są tutaj:
https://www.uodo.gov.pl/decyzje/DKN.5131.59.2022
https://www.uodo.gov.pl/decyzje/DKN.5131.28.2023
Co zrobić, aby uniknąć kary pieniężnej za naruszenie ochrony danych w związku z RODO?
W omawianych sprawach PUODO nałożył na administratorów kary pieniężne (1.440.000 zł oraz 78.000 zł). Kary te są odczuwalne, a ich wysokość wynika nie tylko z faktu, że doszło do naruszeń ochrony danych, ale również dlatego, że sposób ich obsługi nie spełniał standardów wynikających z RODO.
W procesie analizy naruszenia oraz rozpoznawania ryzyka naruszenia praw i wolności osób, których dane dotyczą warto wspierać się wytycznymi Europejskiej Rady Ochrony Danych (EROD), w tym w szczególności Wytycznymi 01/2021 oraz Wytycznymi 9/2022.
Aby zabezpieczyć się przed przykrymi konsekwencjami naruszeń RODO, warto wdrożyć kompletny system ochrony danych osobowych, na który składają się:
- odpowiednie procedury,
- dokumentowanie ocen, uzasadnianie decyzji w zakresie ochrony danych osobowych (rozliczalność),
- zwiększanie świadomości personelu – poprzez cykliczne szkolenia,
- przeprowadzanie ocen i analiz oraz ich aktualizacja – na podstawie np. wniosków z zaistniałych incydentów,
- wdrożenie adekwatnych środków bezpieczeństwa.
Nasza kancelaria i renomowany zespół specjalistów oferuje audyty zgodności z przepisami o ochronie danych osobowych, przygotowanie wymaganej dokumentacji oraz prowadzenie szkoleń. W trakcie audytu przeprowadzamy kompleksową weryfikację procesów przetwarzania danych u przedsiębiorcy w celu zaproponowania najlepszych rozwiązań zapewniających bezpieczeństwo danych osobowych.
Zapewnij swojej firmie pełną zgodność z przepisami oraz ochronę danych osobowych. Skontaktuj się z nami, aby dowiedzieć się więcej na info@dudkowiak.com.
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com