Z LEXTRA PRZY KAWIE O PRAWIE - Czy Prezes Urzędu Ochrony Danych Osobowych słusznie nałożył na przedsiębiorcę karę pieniężną w wysokości 2 830 410 PLN za naruszenie zasad przetwarzania danych osobowych?

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

 

Czy Prezes Urzędu Ochrony Danych Osobowych słusznie nałożył na przedsiębiorcę karę pieniężną w wysokości 2 830 410 PLN za naruszenie zasad przetwarzania danych osobowych?

Prezes Urzędu Ochrony danych osobowych w decyzji z dnia 10 września 2019 r. nałożyć na spółkę z siedzibą w Krakowie karę pieniężną za naruszenie przez Spółkę zasady poufności danych wyrażonej w art. 5 ust 1 lit. f) RODO, polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych  co spowodowało, że dostęp do danych osobowych klientów Spółki uzyskały osoby nieuprawnione oraz na naruszeniu zasady legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a) oraz art. 5 ust. 2  RODO, poprzez niewykazanie, że dane osobowe z wniosków ratalnych zbierane przed  25 maja 2018 r. były przetwarzane przez Morele.net Sp. z o. o. z siedzibą w Krakowie na podstawie zgody osoby, której dane dotyczyły.

Maciej Kawecki wydał w tej sprawie oświadczenie, wyjaśniając, że „spółka Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak doszło do ataku. (…) Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne wiodącym firmom. O incydencie poinformowana została policja, spółka zaczęła ostrzegać klientów, a po wewnętrznym śledztwie zgłoszono naruszenie do UODO. (…) Oceniam też bardzo krytycznie organizowanie przez UODO pierwszej od miesięcy konferencji poświęconej ... karze nałożonej na przedsiębiorcę. Naszą rodzimą firmę, która przez 15 lat urosła do wielkości pozwalającej skutecznie konkurować na rynku z globalnymi gigantami”.

Istotnie Prezes UODO nie wydał szczegółowych instrukcji jakie techniczne wymagania spełnić, aby prawidłowo zabezpieczyć dane, ten ciężar został przerzucony na przedsiębiorców, którzy mają zastosować odpowiednie środki techniczne i organizacyjne. Jak się jednak okazuje w tym przypadku takie środki zawiodły. Zdaniem UODO „kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie”. Jednak czy to oznacza, że nawet współpraca z UODO w takim przypadku nie uchroni przedsiębiorców przed karami, nawet gdy podjęli środki, które miały ich zabezpieczać przed atakami hakerskimi, ale środki te ostatecznie zawiodły nawet gdy zakładano, że są bezpieczne?

Ponadto UODO badał sytuację w spółce sprzed obowiązywania RODO i stwierdził, że Spółka gromadziła dane bez zgody, a usunięcie takiej bazy nie konwaliduje działań Spółki. Prezes UODO podkreślił, że Spółka nie przedstawiła klauzul czy wzorów stosowanych zgód zbieranych przed rozpoczęciem stosowania RODO, dlatego też w jego ocenie nie wykazała aby mogła gromadzić dane w bazie. Takie podejście jednak wzbudza wiele zastrzeżeń, gdyż skoro zakończył się cel przetwarzania i dane zostały usunięte, to w jaki sposób Spółka miałaby wykazać, że usunięta baza była przetwarzana zgodnie z prawem? Na to pytanie UODO już nie udziela odpowiedzi.

Pełna treść decyzji dostępna tutaj: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

Spółka może jeszcze wnieść skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.

To trzecia i jednocześnie najwyższa kara nałożona przez Prezesa UODO od wejścia w życie RODO.