To już tradycja, że pierwszy tegoroczny artykuł na naszym blogu zawiera podsumowanie wydanych przez Prezesa UODO w ubiegłym roku decyzji administracyjnych nakładających kary pieniężne za naruszenie przepisów RODO.
W ubiegłym roku polski organ nadzorczy wydał 19 decyzji nakładających kary pieniężne na 23 podmioty, których łączna suma wyniosła aż 13 309 897,80 zł (informacja na dzień publikacji artykułu). Dla porównania:
- W 2023 roku Prezes UODO wydał 30 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 1,2 mln zł;
- W 2022 roku Prezes UODO wydał 13 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 6,1 mln zł;
- W 2021 roku Prezes UODO wydał 14 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 2,2 mln zł;
- W 2020 roku Prezes UODO wydał 10 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła prawie 3,5 mln zł;
- W 2019 roku Prezes UODO wydał 8 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 4 mln zł.
Do tej pory łączna suma kar nałożonych przez Prezesa UODO wynosi około 30 mln zł, a decyzji było 94.
Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2024 r. wynosiła 4 053 173,00 zł. Podmiot został nią ukarany z powodu niezawiadomienia o naruszeniu osób, których dane zostały nim objęte. Natomiast najniższa – to kara o wysokości 916,71 zł nałożona z powodu braku współpracy z organem nadzorczym.
Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2024 roku
Z 19 decyzji Prezesa UODO o ukaraniu administratorów danych osobowych:
- 7 dotyczyło podmiotów publicznych;
- 10 dotyczyło sektora prywatnego;
- 3 dotyczyło osób fizycznych;
- 6 zostało wydanych wskutek wpłynięcia skarg;
- 11 wydanych zostało w związku ze zgłoszeniem naruszenia ochrony danych osobowych;
- 1 wydana na skutek ponownego postępowania prowadzonego przez Prezesa UODO;
- aż 7 nałożonych kar było rezultatem niewdrożenia wystarczających środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych.
Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.
1) Morele.net Sp. z o.o.
Wysokość kary: 3 819 960,00 PLN
Decyzja Prezesa UODO z 14 stycznia 2024 r.
Pierwszym podmiotem ukaranym w 2024 r. było Morele.net Sp. z o.o. Powodem ukarania była nienależyta ochrona danych osobowych przeszło 2,2 mln swoich klientów, których dane wyciekły.
Nałożenie decyzji było efektem wyroku NSA, który uchylił wyrok WSA w Warszawie podtrzymujący decyzję Prezesa UODO, nakazującego organowi ponowne przeprowadzenie postępowania. Swojego niezadowolenia z wydanego orzeczenia nie krył ówczesny Prezes UODO. W opublikowanym wpisie organ nadzorczy stwierdził, że „(…) powołane orzeczenie NSA w sposób niezaprzeczalny i precedensowy kwestionuje niezależność Prezesa UODO jako organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne zatrudnionych w nim osób, niezbędne do wykonywania zadań, do których organ ten został powołany (…)”. Prezes UODO skierował w tej sprawie również pismo do NSA, które można znaleźć pod wpisem.
Dla przypomnienia, początkowo organ nadzorczy nałożył na Morele.net administracyjną karę pieniężną w wysokości 2,8 mln zł za nienależytą ochronę danych. Część z klientów otrzymywała fałszywe SMS-y z żądaniem dopłaty 1 zł do zamówienia. Po kliknięciu w link ofiara była przenoszona na fałszywą bramkę płatności. Następnie po wprowadzeniu przez nią danych do logowania na sfingowanej stronie bankowości elektronicznej trafiały one do oszustów. Po jakimś czasie Morele.net przyznało, że w wyniku ataku cyberprzestępców doszło do wycieku danych z ich baz.
NSA w wydanym wyroku nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z naruszeniem ochrony danych osobowych. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez ADO środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem NSA Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę.
Po wydaniu przez NSA wyroku z 9 lutego 2023 r. (sygn. akt III OSK 3945/21) sprawa trafiła do ponownego rozpoznania przez Prezesa UODO. Kolejne postępowanie również wykazało, że spółka Morele.net zastosowała niewystarczające zabezpieczenia techniczne wobec istniejącego ryzyka naruszenia ochrony danych. Nie wdrożyła również odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy.
Braki w zabezpieczeniach potwierdziła analiza zastosowanych środków, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA. Tym razem Prezes UODO postanowił bardziej dotkliwie ukarać Morele.net, nakładając karę w wysokości 3,8 mln zł. Spółka w opublikowanym wpisie zapowiedziała zaskarżenie przedmiotowej decyzji do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA), co też uczyniła.
WSA wyrokiem z dnia 16 września 2024 r. (sygn. akt II SA/Wa 430/24) oddalił skargę Morele.net na decyzję Prezesa UODO. Więcej informacji na temat rozstrzygnięcia można znaleźć tutaj.
2) Pan B.W.
Wysokość kary: 9.903,60 PLN
Decyzja Prezesa UODO z dnia 18 stycznia 2024 r.
We wrześniu 2021 r. do Prezesa UODO wpłynęła informacja o naruszeniu ochrony danych osobowych przez Pana B.W. prowadzącego działalność gospodarczą pod firmą B. Autorem zgłoszenia był nieuprawniony odbiorca korespondencji. Naruszenie miało polegać na wysłaniu do nieuprawnionego adresata wiadomości e-mail zawierającej niezabezpieczoną hasłem bazę danych. Zawierała ona pełną listę uczestników Konferencji, na której znajdowały się dane w zakresie imion, nazwisk, adresów e-mail, numerów telefonu, miejsc zatrudnienia, stanowisk, statusów płatności za udział w konferencji oraz danych dotyczących zdrowia (informacje o byciu zaszczepionym lub nie).
W związku z uzyskaniem powyższych informacji organ nadzorczy zwrócił się do administratora o złożenie wyjaśnień. Pan B.W. udzielał nieterminowych i niekompletnych odpowiedzi. Z uwagi na to organ nadzorczy zwrócił się do Inspektora Ochrony Danych podmiotu dokonującego zgłoszenia, który przedstawił Prezesowi UODO szczegóły dotyczące naruszenia.
Następnie organ nadzorczy zwrócił się do administratora o udzielenie informacji, czy w związku z zaistniałą sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Z udzielonej odpowiedzi wynikało, że w ocenie Pana B.W. „(…) nie zaszła konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których dotyczy naruszenie”. Natomiast w ocenie organu nadzorczego zgłoszenie naruszenia i powiadomienie osób było konieczne, dlatego Prezes UODO nałożył na administratora karę pieniężną.
3) Santander Bank Polska S.A.
Decyzja z dnia 12 marca 2024 r.
Wysokość kary: 1 440 549,00 PLN
W sierpniu 2022 r. Prezes UODO powziął z artykułu zamieszczonego na stronie internetowej informację o naruszeniu ochrony danych osobowych klientów Santander Bank Polska. Doszło do niego w wyniku upublicznienia dokumentów bankowych znajdujących się w porzuconej na osiedlu przesyłce, która została skradziona w czasie transportu.
W związku z powzięciem powyższych informacji Prezes UODO zwrócił się do administratora o udzielenie wyjaśnień. Z przesłanej przez Bank odpowiedzi wynikało, że naruszenie dotyczyło danych maksymalnie 158 osób. Objęło ono następujące dane: „nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia”.
Natomiast naruszenie nie zostało zgłoszone do Prezesa UODO oraz nie poinformowano o nim podmiotów danych, ponieważ „przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; zweryfikowano, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji”.
W ocenie Prezesa UODO dokonanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz poinformowanie o nim osób, których dane dotyczą w przedmiotowej sprawie było konieczne. Jak podkreślono w decyzji „(…) oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze”. Podkreślono również, że administrator nie ma pewności, że dostęp do danych osobowych znajdujących się w skradzionej przesyłce mogła mieć tylko jedna osoba.
Z uwagi na niedopełnienie obowiązków wynikających z art. 33 i 34 RODO Prezes UODO nałożył na bank administracyjną karę pieniężną.
4) Toyota Bank Polska S.A
Decyzja z dnia 12 marca 2024 r.
Wysokość kary: 78 575,40 PLN
We wrześniu 2022 r. Toyota Bank Polska S.A. dokonał zgłoszenia do Prezesa UODO naruszenia ochrony danych osobowych obejmującego dane osobowe jednej osoby fizycznej (klienta Banku) w zakresie imienia i nazwiska, numeru rachunku bankowego, adresu zamieszkania, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego. Naruszenie polegało na wysłaniu w wyniku błędu pracownika banku przesyłki zawierającej umowę i harmonogram spłaty kredytu do innego klienta. Przesyłka została odebrana i otwarta przez tego klienta, w związku z czym doszło do ujawnienia danych osobowych osobie nieuprawnionej.
Administrator stwierdził naruszenie 31 marca 2021 r., natomiast zgłosił je organowi nadzorczemu dopiero we wrześniu 2022 r. – czyli półtora roku później. Biorąc pod uwagę przekroczony termin, ADO nie dopełnił obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia i został ukarany administracyjną karę pieniężną.
5) Komitet Inicjatywy Ustawodawczej „StopLGBT”
Decyzja z dnia 24 kwietnia 2024 r.
Wysokość kary: 10 913,00 PLN
Sprawa została zapoczątkowana zgłoszeniem, jakie do Prezesa UODO wpłynęło 16 września 2020 r. Z przekazanej informacji wynikało, że karty do zbiórki podpisów „(…) leżą sobie spokojnie na ołtarzach bocznych, a w tygodniu na stoliku z prasą katolicką pod chórem. (…) Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła”. Na kartach znajdowały się dane osobowe takie dane jak imię, nazwisko, numer ewidencyjny PESEL, adres zamieszkania i własnoręczny podpis.
W związku z otrzymanym zawiadomieniem Prezes UODO zwrócił się do administratora, który potwierdził, że opisana sytuacja miała miejsce, lecz w ocenie Komitetu nie doszło do naruszenia przepisów RODO. Postępowanie przeprowadzone przez Prezesa UODO wykazało jednak niespełnienie wielu wymogów dotyczących ochrony danych osobowych. ADO przeprowadził analizę ryzyka w sposób nieprawidłowy, nie identyfikując wszystkich możliwych zagrożeń. Natomiast zidentyfikowane ryzyko ocenił jako „nieistotne”.
W swojej decyzji Prezes UODO wskazuje, jak zbierać podpisy pod inicjatywą ustawodawczą w sposób zgodny z przepisami RODO. Osoby je zbierające muszą dbać o odpowiednie zabezpieczenie danych. Konieczny jest stały nadzór nad zebranymi już danymi i chronienie ich przed dostępem kolejnych osób składających podpisy. Może się to odbywać przez zakrywanie tej części listy, która jest już wypełniona danymi osobowymi. Niedopuszczalne jest pozostawianie takich list bez nadzoru.
Prezes UODO stwierdził niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i nałożył na podmiot sankcję pieniężną.
6) Res-Gastro M. Gaweł Sp. k.
Decyzja z dnia 29 kwietnia 2024 r.
Wysokość kary: 238 345,00 PLN
W lipcu 2023 r. Res-Gastro M. Gaweł Sp. k. zgłosiło naruszenie ochrony danych osobowych do Prezesa UODO. Polegało ono na zgubieniu przez jednego z pracowników nośnika danych typu pendrive zawierającego dane innego pracownika. Pendrive był częściowo zaszyfrowany w zakresie danych finansowych. Natomiast informacje takie jak imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków nie były zabezpieczone.
W przeprowadzonej przez ADO analizie ryzyka wzięto pod uwagę fakt, że nośniki z danymi osobowymi mogą zostać skradzione albo zniszczone. Całkowicie jednak pomięto możliwość ich zgubienia. W toku postępowania okazało się, że firma szkoliła pracowników w zakresie szyfrowania plików za pomocą filmu instruktażowego.
W ocenie Prezesa UODO nie wystarczy nakazać pracownikom stosować się do procedur – należy zapewnić, że je znają i potrafią stosować. UODO powołał się przy tym na wyrok WSA w Warszawie z dnia 15 lutego 2022 roku (sygn. akt II SA/Wa 3309/21), w którym stwierdzono, że „pracownik może nie posiadać w tym zakresie odpowiedniej wiedzy”, a także „pracownik nie może zastąpić administratora w realizacji jego zadań (…) Tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, skutkuje wręcz pozbawieniem administratora danych podstawowych informacji niezbędnych do przeprowadzenia w sposób właściwy analizy ryzyka i na tej podstawie zbudowania skutecznego systemu ochrony danych”.
Z uwagi na powyższe Prezes UODO stwierdził niewdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i nałożył na niego administracyjną karę pieniężną.
7) Stowarzyszenie „Maraton”
Decyzja z dnia 30 kwietnia 2024 r.
Wysokość kary: 916,71 PLN
Do Prezesa UODO wpłynęło pismo z dnia 24 stycznia 2022 r. informujące o naruszeniu ochrony danych osobowych przez Stowarzyszenie „Maraton”. Jego nadawcą był członek rodziny jednej z osób, których dane zostały objęte tym naruszeniem. Incydent polegał na udostępnieniu na profilu Stowarzyszenia w portalu społecznościowym listy uczestników amatorskich zawodów sportowych.
Ze skargi wynikało, że opublikowana lista zawierała nadmiarowe dane osób biorących udział w zawodach. Znajdował się w niej następujący zakres danych: imię, nazwisko, płeć, klub, miejscowość, adres e-mail, data urodzenia. Podkreślić należy, że Stowarzyszenie miało prawo opublikować dane osobowe uczestników zawodów, jednakże zakres udostępnionych danych osobowych powinien być adekwatny do celu takiej publikacji.
Prezes UODO zwrócił się do Stowarzyszenia o złożenie wyjaśnień. Pisma przesyłane przez Stowarzyszenie były niekompletne i nie zawierały wyczerpującej odpowiedzi na zadane przez organ nadzorczy pytania. Z korespondencji wynikało, że administrator za wystąpienie incydentu obwinia wolontariusza pracującego przy zawodach. To rzekomo w następstwie jego pomyłki doszło do udostępnienia danych osobowych uczestników zawodów sportowych w nadmiarowym zakresie.
Prezes UODO w kierowanych do Stowarzyszenia pismach pytał, czy w związku incydentem dokonana została analiza ryzyka naruszenia praw lub wolności osób fizycznych. Stowarzyszenie nie udzieliło odpowiedzi na zadane przez organ pytania. Z związku z brakiem dowodów na odmienny stan faktyczny, organ nadzorczy stwierdził naruszenie art. 33 RODO i nałożył na Stowarzyszenie administracyjną karę pieniężną.
8) American Heart of Poland S.A.
Decyzja z dnia 20 maja 2024 r.
Wysokość kary: 1 440 549,00 PLN
American Heart of Poland S.A. zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych. Polegało ono na uzyskaniu przez przestępczą grupę hackerską o nazwie „A.” nieuprawnionego dostępu do zasobów informatycznych Spółki przy użyciu oprogramowania typu ransomware. W wyniku ataku doszło do utraty dostępności oraz poufności przetwarzanych przez Spółkę danych około 21 tys. osób, którymi byli pacjenci i pracownicy spółki.
Atakujący poinformowali Spółkę o uzyskaniu dostępu do danych pacjentów w zakresie: nazwiska, imienia, imion rodziców, nazwiska rodowego matki, daty urodzenia, danych dotyczące zarobków lub posiadanego majątku, danych dotyczących zdrowia, numeru rachunku bankowego, adresu zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego, numeru telefonu oraz adresu e-mail. Cyberprzestępcy zagrozili, że uzyskane w wyniku ataku dane zostaną udostępnione w Darknecie. Aby temu zapobiec (a jednocześnie odzyskać dostęp do danych) spółka miała zapłacić cyberprzestępcom okup w wysokości 3 mln dolarów.
Po otrzymaniu zgłoszenia Prezes UODO wszczął postępowanie wyjaśniające, w wyniku którego ustalono szereg zaniedbań po stronie administratora. Przede wszystkim Spółka nie przeprowadziła w prawidłowy sposób analizy ryzyka. W konsekwencji nie wdrożono właściwych środków służących ochronie przetwarzanych danych. Według Prezesa UODO mogło to mieć realny wpływ na wystąpienie naruszenia. Ukarany podmiot korzystał z platformy chmurowej, która była zbyt słabo zabezpieczona. Ponadto trzy serwery pracujące w siedzibie Spółki nie miały aktualnego wsparcia technicznego producenta i nie testowano regularnie skuteczności zabezpieczeń systemów informatycznych.
9) Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P.
Decyzja z dnia 13 czerwca 2024 r.
Wysokość kary: 40 000,00 PLN
Samodzielny Publiczny Zespół Opieki Zdrowotnej (SPZOZ) w lutym 2022 r. zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. Polegało ono na zaszyfrowaniu danych SPZOZ przez złośliwe oprogramowanie typu „ransomware”. W wyniku ataku placówka straciła dostęp do danych pacjentów i pracowników w zakresie: imienia i nazwiska, imion rodziców, daty urodzenia, numeru rachunku bankowego, adresu zamieszkania lub pobytu, nr PESEL, nazwy użytkownika, hasła, danych dotyczących zarobków lub posiadanego majątku, nazwiska rodowego matki, serii i numeru dowodu osobistego, numeru telefonu oraz danych dotyczące zdrowia. Naruszenie dotyczyło danych osobowych 30 tys. pacjentów i ponad tysiąca pracowników. Za odszyfrowanie danych atakujący domagał się okupu w kryptowalucie.
Po przeprowadzeniu ataku administrator podjął współpracę z ekspertami z obszaru cyberbezpieczeństwa, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Przeprowadzone zostały również szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i przetwarzania danych osobowych.
Prezes UODO po otrzymaniu zgłoszenia wszczął postępowanie wyjaśniające. Stwierdzono brak dokumentów wskazujących na przeprowadzenie analizy ryzyka. Według ukaranego podmiotu stosowane środki bezpieczeństwa były dobierane przez informatyka na podstawie analizy potencjalnych zagrożeń. Natomiast przez brak dowodów na potwierdzenie tych działań naruszono zasadę rozliczalności. Ponadto administrator powinien o zdarzeniu poinformować osoby, których dane dotyczą, czego nie uczynił.
Oprócz kary finansowej Prezes UODO zalecił wdrożenie w terminie 30 dni odpowiednich (opartych na udokumentowanej analizie ryzyka) środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych. Nakazał też powiadomić o zdarzeniu osoby, których dane dotyczą.
10) Pani A.Z.
Decyzja z dnia 10 lipca 2024 r.
Wysokość kary: 21 827,00 PLN
We wrześniu 2023 r. do Prezesa UODO wpłynęła skarga Pani C. D. na nieprawidłowości w procesie przetwarzania danych osobowych przez Panią A. Z. prowadzącą działalność gospodarczą pod firmą B. Według skarżącej polegały one na przetwarzaniu jej danych osobowych bez podstawy prawnej poprzez rejestrowanie za pomocą monitoringu wizerunku skarżącej oraz niedopełnieniu wobec niej obowiązku informacyjnego wynikającego z art. 13 ust. 1 oraz ust. 2 RODO.
W związku z utrzymaniem zgłoszenia Prezes UODO skierował do Pani A.Z. pismo z żądaniem złożenia wyjaśnień. Korespondencja została odebrana, jednak Pani A.Z. nie udzieliła wyjaśnień. Z uwagi na to Prezes UODO skierował kolejne pismo, które również odebrano, ale nie udzielono na nie odpowiedzi. Pisma zawierały pouczenie, zgodnie z którym niezłożenie wyjaśnień w sprawie może stanowić naruszenie obowiązku współpracy z organem, a w konsekwencji nałożeniem administracyjnej kary pieniężnej.
Z uwagi na to Prezes UODO ukarał Panią A.Z. sankcją pieniężną za brak współpracy z organem nadzorczym.
11) mBank Spółka Akcyjna
Decyzja z dnia 20 sierpnia 2024 r
Wysokość kary: 4 053 173,00 PLN
22 lipca 2022 r. mBank S.A. dokonał do Prezesa UODO zgłoszenia naruszenia ochrony danych osobowych, do którego doszło 30 czerwca 2022 r. Doszło do niego, kiedy pracownik firmy przetwarzającej dane osobowe na zlecenie banku omyłkowo przesłał dokumenty klientów (ich liczba została zanonimizowana w decyzji) do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały.
W dokumentach znajdowały się następujące dane osobowe: nazwisko i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne dane (m.in. informacje dotyczące zaciągniętego kredytu i nieruchomości).
Po otrzymaniu zgłoszenia Prezes UODO poinformował mBank o konieczności poinformowania o naruszeniu osób nim dotkniętych. Mimo to administrator tego nie uczynił. W wyjaśnieniach tłumaczono, że dokumenty trafiły do instytucji, którą także obowiązuje tajemnica bankowa. Argumentowano, że jest to podmiot, z którym bank współpracuje i który w jego ocenie ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. Dlatego w opinii banku nie trzeba było informować o naruszeniu osób, których danych ono dotyczyło.
Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego. Podkreślił, że „Wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. >>odbiorcę zaufanego<<. Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy (…)”.
Prezes UODO uznał, że możliwość ujawnienia danych w tak szerokim zakresie tworzy dla osób, których one dotyczą ogromne ryzyko. Z uwagi na to, że nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. W ocenie Prezesa UODO przedmiotowe działanie administratora jest przykładem lekceważenia praw osób, których dane przetwarza.
Z uwagi na to organ nadzorczy nałożył na administratora najwyższą w 2024 r. administracyjną karę pieniężną w wysokości ponad 4 mln zł za niezawiadomienie osób dotkniętych naruszeniem ochrony danych osobowych.
12) Pani A.K.
Decyzja z dnia 30 sierpnia 2024 r.
Wysokość kary: 19 644,00 PLN
Do Prezesa UODO wpłynęła skarga Pana W.D. na nieprawidłowości w procesie przetwarzania danych osobowych przez K. Sp. z o.o. Sp. k. W toku postępowania Prezes UODO dokonał ustaleń, iż administratorem danych osobowych skarżącego jest Pani A. K. prowadzącą działalność gospodarczą pod firmą B.
W związku z utrzymaniem skargi Prezes UODO zwrócił się do Pani A.K. o złożenie wyjaśnień. Pismo z żądaniem zostało odebrane przez administratora, jednak nie udzielono na nie odpowiedzi. Z uwagi na to Prezes UODO skierował kolejne pismo. Następnie do organu nadzorczego wpłynęły lakoniczne wyjaśnienia, ale pismo je zawierające zostało podpisane przez Pana K.S., który nie był osobą upoważnioną do reprezentowania firmy B.
W związku z tym Prezes UODO skierował do administratora pismo, w którym poinformował o wpłynięciu pisma Pana K.S. oraz jego braku upoważnienia do reprezentowania firmy B. W piśmie wyjaśniono, że w przypadku kierowania pism przez pełnomocnika należy przedłożyć stosowne pełnomocnictwo wraz z dowodem uiszczenia opłaty. Jednak administrator nie przesłał do Prezesa UODO powyższych dokumentów ani nie złożył stosownych wyjaśnień.
Z uwagi na to Prezes UODO nałożył na Panią A.K. administracyjną karę pieniężną za brak współpracy z organem nadzorczym.
13) Prokuratura Krajowa
Decyzja z dnia 2 września 2024 r.
Wysokość kary: 85 000,00 PLN
Do Prezes UODO wpłynęła od „osoby trzeciej” informacja o naruszeniu ochrony danych osobowych dokonanym przez Prokuraturę Krajową polegającym na ujawnienia danych osobowych ofiary przestępstwa. Do naruszenia doszło 2 sierpnia 2023 r. w trakcie konferencji prasowej, podczas której omawiano sprawy jednej z prokuratur rejonowych. W trakcie konferencji prokurator Prokuratury Krajowej oraz Prokurator Generalny ujawnili nie tylko dane osoby pokrzywdzonej, ale również informacje dotyczące stanu faktycznego sprawy zawarte w wyroku sądu rejonowego. Pomimo, że doszło w ten sposób do naruszenia ochrony danych osobowych administrator nie dokonał zgłoszenia do Prezesa UODO oraz nie zawiadomił o tym fakcie osoby fizycznej nim dotkniętej.
Prezes UODO po tym jak dowiedział się o naruszeniu wystąpił do administratora o złożenie stosownych wyjaśnień. Prokuratura w udzielonej odpowiedzi wskazała, że zdarzenie, opisane w piśmie Prezesa UODO nie było przedmiotem analizy administratora, gdyż w ocenie ADO nie było do tego podstaw. Prokuratura tłumaczyła, że dane osobowe poszkodowanego zostały już ujawnione w toku postępowania sądowego. Prokuratura Krajowa w korespondencji z Prezesem UODO prezentowała stanowisko, zgodnie z którym ujawnienie danych nie było naruszeniem ochrony danych osobowych. Innego zdania był Prezes UODO, który ukarał administratora za brak zgłoszenia naruszenia oraz niezawiadomienie o nim osoby, której danych ono dotyczyło.
14) Pan AB. oraz wspólnicy spółki cywilnej X.
Decyzja z dnia 9 października 2024 r.
Wysokość kary: 353 589,00 PLN i 9 822,00 PLN
W grudniu 2019 roku pan AB prowadzący dzielność gospodarczą pod firmą X dokonał wstępnego zgłoszenia naruszenia ochrony danych osobowych. Polegało ono na przeprowadzeniu ataku typu ransomware, w wyniku którego utracona została dostępność danych osobowych klientów oraz byłych i obecnych pracowników administratora. Naruszeniem objęte zostały dane w zakresie m.in.: numeru PESEL, serii i numeru dowodu osobistego, imienia i nazwiska, imion rodziców, daty urodzenia, numeru rachunku bankowego, adresu zamieszkania, adresu e-mail, numeru telefonu około 200 osób. Administrator wskazał, że z uwagi na krótki czas trwania incydentu nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W związku z tym administrator nie zawiadomił o zdarzeniu osób, których ono dotyczyło.
W zgłoszeniu uzupełniającym administrator podtrzymał wcześniejszą argumentację. Poinformował, że dokonał jednak zawiadomienia osób, których dane objęło naruszenie w formie publicznego komunikatu dostępnego w siedzibie firmy. W wyniku wszczętego postępowania Prezes UODO ustalił, że charakter naruszenia uzasadniał konieczność spełnienia obowiązku z art. 34 RODO. Natomiast sposób informowania dokonany przez administratora był nieprawidłowy. Organ nadzorczy ustalił, że za proces przetwarzania danych osobowych objęty przedmiotowym naruszeniem ochrony danych osobowych odpowiedzialny był również każdy ze wspólników podmiotu przetwarzającego, który od 2010 r. wykonywał dla ADO usługi wsparcia w zakresie IT.
W wyniku przeprowadzonego postępowania Prezes UODO ustalił szereg zaniedbań po stronie administratora, jak i podmiotu przetwarzającego. Przede wszystkim administrator nie przeprowadził analizy ryzyka, w związku z czym nie wdrożył odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Organ nadzorczy stwierdził również, że co prawda ADO poinformował o incydencie podmioty danych, ale uczynił to w sposób nieprawidłowy.
Z kolei podmiot przetwarzający nie udzielił administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Pomoc ta powinna polegać w ocenie Prezesa UODO na poinformowaniu ADO o braku właściwych zabezpieczeń serwera wykorzystywanego w procesach przetwarzania danych osobowych. Podmiot przetwarzający mimo długoletniej współpracy zaniechał również informowania administratora o występujących w oprogramowaniu serwera podatnościach oraz o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji, bądź zastosowania nowszych rozwiązań technologicznych.
Z uwagi na powyższe Prezes UODO nałożył administracyjne kary pieniężne w wysokości 350 tys. zł na pana AB prowadzącego działalność gospodarczą X oraz 9,8 tys. zł na podmiot przetwarzający – wspólników spółki cywilnej, która wykonywała usługi wsparcia w zakresie IT.
15) MOPS i MOSiR w Kutnie oraz X.
Decyzja z dnia 10 października 2024 r.
Wysokość kary: 15 000,00 PLN; 20 000,00 PLN i 24 000,00 PLN
W lutym 2021 r. do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych dokonane przez jedną z instytucji w Kutnie. Polegało ono na zgubieniu przez pracownika podmiotu przetwarzającego niezaszyfrowanego nośnika typu pendrive. Znajdowały się na nim dane osobowe około tysiąca pracowników i współpracowników MOPS i MOSiR, przetwarzane w związku z wykonaniem usługi polegającej na zmianie programu kadrowo-płacowego. Dane obejmowały imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków, nazwiska rodowe matki, serie i numery dowodów osobistych oraz numery telefonów. Parę dni później zgłoszenia o tej samej treści dokonała druga z instytucji.
Prezes UODO w wyniku przeprowadzonego postepowania ustalił, że podmioty nie przeprowadziły analizy ryzyka dla procesu wymiany systemu kadrowo-płacowego. To z kolei było powodem niewdrożenia odpowiednich środków technicznych i organizacyjnych. Ponadto instytucje nie dokonały weryfikacji podmiotu przetwarzającego pod kątem ustalenia, czy zapewnia on wystarczające gwarancje przetwarzania danych zgodnie z przepisami RODO.
Z uwagi na powyższe Prezes UODO nałożył administracyjne kary pieniężne w wysokości 15 tys. zł na MOPS i 20 tys. zł na MOSiR. Tą samą decyzją ukarana została na kwotę ponad 24 tys. zł również spółka X obsługująca te instytucje w zakresie zmiany programu kadrowo-płacowego. Powodem ukarania wszystkich podmiotów było niewdrożenie odpowiednich środków technicznych i organizacyjnych, w wyniku czego doszło do naruszenia ochrony danych osobowych.
16) Powiatowy Inspektor Nadzoru Budowlanego w C.
Decyzja z dnia 18 października 2024 r.
Wysokość kary: 25 000,00 PLN
W lutym 2024 r. Prezes UODO otrzymał informację o nieprzestrzeganiu obowiązku wyznaczenia Inspektora Ochrony Danych przez Powiatowego Inspektora Nadzoru Budowlanego w C.
W związku z wpłynięciem skargi Prezes UODO zwrócił się do administratora o złożenie wyjaśnień. W odpowiedzi udzielonej organowi nadzorczemu ADO zaprzeczył wystąpieniu wskazanych w skardze nieprawidłowości. Administrator twierdził, że „(…) Inspektorem Ochrony Danych Osobowych była p. AB, która od dnia (…) przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia (…). Wszystkie obowiązki pracownicze zostały przejęte przez p. CD, zgodnie z przyjętym i podpisanym zakresem obowiązków.”
W związku z otrzymaną odpowiedzią Prezes UODO zwrócił się do administratora o poinformowanie, czy zawiadomiono organ nadzorczy o powołaniu, zmianie lub odwołaniu inspektora ochrony danych. W odpowiedzi administrator przedłożył kopię akt osobowych osoby pełniącej funkcję IOD. Jednak wśród nich nie znalazły się dokumenty wskazujące na wyznaczenie IOD oraz zawiadomienie o tym fakcie organu nadzorczego.
Jak wynika z wpisu na stronie UODO: „Zdaniem Prezesa UODO pojawiające się w wymienionych dokumentach sformułowania mogą jedynie pośrednio świadczyć, że funkcję IOD w strukturze administratora sprawują wskazane w nich osoby. Nie świadczą one o tym, że doszło do skutecznego wyznaczenia jej na stanowisko IOD. Sprawowanie funkcji IOD na podstawie ustnego polecenia Administratora nie stanowi o jego skuteczności. Pragnąc bowiem wykazać się skutecznością takiego wyznaczenia przed organem nadzorczym, administrator powinien dążyć by akt prawny (np. wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków) bądź umowa z osobą, która ma sprawować funkcję IOD w sposób nie budzący [sic] wątpliwości wskazywały na wyznaczenie do pełnienia funkcji inspektora ochrony danych konkretnej osoby”.
Administrator dokonał prawidłowego wyznaczenia IOD dopiero 4 marca 2024 r. po przeprowadzeniu postępowania przez Prezesa UODO. Następnego dnia zawiadomił o tym Prezesa UODO. Jednak do dnia wydania decyzji (18 października 2024 r.) ADO nie dokonał publikacji danych kontaktowych IOD na stronie www.
Mimo dopełnienia obowiązku skutecznego wyznaczenia IOD podmiot dokonał tego zbyt późno. ADO mimo obowiązku wyznaczenia IOD nie dokonał tego w okresie od 28 maja 2018 r. aż do 4 marca 2024 r. Z uwagi na to Prezes UODO nałożył na podmiot administracyjną karę pieniężną.
17) Chorągiew Stołeczna ZHP
Decyzja z dnia 12 listopada 2024 r.
Wysokość kary: 24 555,00 PLN
W maju 2023 r. Chorągiew Stołeczna ZHP zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Doszło do niego w wyniku pozostawienia w pociągu przez pracownika ADO plecaka, w którym znajdowały się dokumenty (faktury) oraz laptop.
Urządzenie było niezaszyfrowane. Znajdowały się na nim informacje zawierające m.in.: nazwiska i imiona, imiona rodziców, daty urodzenia, numery rachunku bankowego, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków, serię i numeru dowodu osobistego, numer telefonu, dane dotyczące zdrowia. Informacje te dotyczyły pracowników ADO oraz jego podopiecznych (dzieci). Administrator nie był w stanie wskazać ilu osób dane zostały objęte naruszeniem.
Prezes UODO ustalił, że Chorągiew Stołeczna ZHP przeprowadziła analizę ryzyka, jednak nie obejmowała ona zagrożenia związanego z przewożeniem nośników z danymi. W ocenie organu nadzorczego analiza ryzyka i stosowane na jej podstawie środki nie były wystarczające.
W decyzji Prezesa UODO podkreślono także, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych. Przetwarzając dane należy regularnie mierzyć, testować i oceniać skuteczność zabezpieczeń. Administrator nie prowadził takich działań, co przyczyniło się do wystąpienia incydentu. Z uwagi na to Prezes UODO nałożył nań administracyjną sankcję pieniężną za niestosowanie środków technicznych i organizacyjnych odpowiadających ryzyku związanemu z przetwarzaniem danych osobowych.
18) A. S.A. i X.
Decyzja z dnia 12 listopada 2024 r.
Wysokość kary: 1 527 855,00 PLN i 20 037,00 PLN
W kwietniu 2020 r. A. S.A. dokonała zgłoszenia naruszenia ochrony danych osobowych. Doszło do niego podczas uruchomienia nowej strony www. Naruszenie polegało na opublikowaniu przez pracownika X. folderu zawierającego dane osobowe, który w zamyśle miał zostać ukryty.
W udostępnionym publicznie folderze znajdowały się dane 21 453 osób w zakresie: imienia i nazwiska, numeru telefonu, adresu e-mail, adresu zamieszkania, daty urodzenia, numeru PESEL oraz zaszyfrowanego hasła do panelu klienta. W wyniku wszczętego postępowania Prezes UODO ustalił, że administrator na żadnym etapie nie prowadził nadzoru nad tym, czy przebudowa strony przebiega zgodnie z powszechnie obowiązującymi standardami oraz umową powierzenia przetwarzania danych osobowych.
Według organu nadzorczego administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych i wdrożenia odpowiednich środki technicznych oraz organizacyjnych. Zadaniem ADO powinno być również regularne testowanie, mierzenie i ocenianie skuteczności tych środków mających zapewnić bezpieczeństwo przetwarzania danych.
W ocenie Prezesa UODO także podmiot przetwarzający nie zachował należytej staranności w zakresie realizacji jego zadań (m.in. poprzez brak odpowiedniej komunikacji z ADO). Jak podkreślono w decyzji „(…) Podmiot przetwarzający dla szeroko pojętego bezpieczeństwa oraz dla wypełnienia obowiązku staranności, który spoczywa na nim jako wykwalifikowanym podmiocie, mógł dopytać się o zawartość bazy danych oraz miejsce zapisywania danych przetwarzanych w witrynie”.
Z uwagi na brak tych działań Prezes UODO nałożył administracyjną karę pieniężną w wysokości ponad 1 500 000 zł na A. S.A. Tą samą decyzją Prezes UODO nałożył karę w wysokości ponad 20 tys. zł na podmiot przetwarzający dane – firmę X. świadczącą usługę przebudowy strony internetowej.
19) Szpital Powiatowy we Wrześni
Decyzja z dnia 26 listopada 2024 r.
Wysokość kary: 29 684,04 PLN
W listopadzie 2022 r. Rzecznik Praw Pacjenta poinformował Prezesa UODO o naruszeniu ochrony danych osobowych w Szpitalu Powiatowym we Wrześni. Doszło do niego w wyniku wydania przez administratora dokumentacji medycznej niewłaściwej osobie. Znajdowały się w niej dane w zakresie imienia, nazwiska, daty urodzenia, numeru PESEL oraz danych dotyczących zdrowia.
Prezes UODO w listopadzie 2022 roku zwrócił się do administratora o złożenie wyjaśnień w tej sprawie. Szpital tłumaczył, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Administrator dokonał zgłoszenia naruszenia ochrony danych osobowych dopiero w chwili otrzymania od Prezesa UODO zawiadomienia o wszczęciu postępowania (tj. 27 marca 2024 r.), tym samym nie dochowując terminu 72 godzin. Administrator poinformował również organ nadzorczy, że wdrożył środki zaradcze poprzez odbycie rozmowy z kierownikiem oddziału oraz pracownikami medycznymi. Ustalił również termin szkolenia pt. „Postępowanie w przypadku naruszenia i ochrony danych osobowych”.
W ocenie organu nadzorczego zgłoszenie naruszenia ochrony danych osobowych oraz poinformowanie o nim osoby, której dane dotyczą nastąpiło zbyt późno, w związku z czym nałożył na Szpital administracyjną karę pieniężną. Prezes UODO w decyzji podkreślił, że „przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą”.
Podsumowanie
Mimo, że w 2024 roku nie udało się dorównać rekordowi wydanych przez Prezesa UODO decyzji to miniony rok zdecydowanie był rekordowy pod kątem sumarycznej kwoty nałożonych kar administracyjnych, która wyniosła 13 309 897,80 zł (informacja na dzień publikacji artykułu).
Z zestawienia wynika, że organ nakłada coraz wyższe kary, które są nakładane zarówno na podmioty prywatne, publiczne, jak i osoby fizyczne.
Biorąc pod uwagę przedmiot decyzji najczęstszymi powodami nałożenia administracyjnej kary pieniężnej są: brak należytej współpracy z organem nadzorczym, niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających właściwy stopień bezpieczeństwa oraz niezgłoszenie naruszenia ochrony danych osobowych.
Z naszych obserwacji wynika, że wydane decyzje pojawiają się na stronie UODO z opóźnieniem. Dlatego już teraz możemy zapowiedzieć aktualizację artykułu o kolejne opublikowane na stronie decyzje.
W 2025 roku w dalszym ciągu będziemy przyglądać się decyzjom nakładanym przez organ nadzorczy i analizować je na bieżąco. Ich podsumowanie zostanie przez nas opublikowane za rok w kolejnym artykule z tej serii.