KARA PIENIĘŻNNA ZA ZBYT PÓŹNE IDENTYFIKOWANIE NARUSZEŃ RODO

Z uwagi na powtarzającą się, zbyt późną identyfikację naruszeń ochrony danych osobowych oraz związane z tym zbyt późne dokonywanie zgłoszeń do UODO, Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Cyfrowy Polsat S.A. karę pieniężną w wysokości ponad 1,1 mln złotych.

Postępowanie Prezesa UODO dotyczyło zagubionych korespondencji oraz dostarczania przesyłek do niewłaściwych adresatów, które zawierały dane osobowe klientów Cyfrowego Polsatu S.A. (np. imię, nazwisko, adres korespondencyjny, numer umowy, numer faktury). Choć czynności te podejmowała firma kurierska, z którą Cyfrowy Polsat S.A. miał podpisaną umowę, odpowiedzialność za ochronę danych osobowych ponosi w takiej sytuacji administrator danych osobowych (tutaj: Cyfrowy Polsat S.A.).

Prezes UODO stwierdził, iż „Brak wdrożonych odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia powodował, że osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione”.

W tym kontekście, warto zwrócić uwagę na wiele kwestii – po pierwsze, niezwykle ważna jest właściwa ocena oraz wybór potencjalnego procesora (podmiotu przetwarzającego) przed podpisaniem z nim umowy powierzenia danych osobowych, bowiem administrator odpowiada za podejmowane przez niego czynności związane z powierzonymi danymi osobowymi.

Ponadto, identyfikacja naruszeń winna odbywać się niezwłocznie po ich zaistnieniu, a administrator winien wdrożyć ku temu odpowiednie środki organizacyjne i techniczne, w szczególności gdy do naruszeń czy incydentów dochodzi wielokrotnie. Bierność administrator wobec powtarzających się naruszeń została bardzo surowo oceniona oraz ukarana przez Prezesa UODO.

Co więcej, należy pamiętać, iż zasadniczo na zgłoszenie przypadku naruszenia ochrony danych osobowych administrator ma 72h od chwili stwierdzenia naruszenia (art. 33 ust. 1 RODO).