202107.30
0

Cyfrowy Polsat S.A. ukarany przez Prezesa UODO

22 kwietnia 2021 r. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Cyfrowy Polsat S.A. stwierdził naruszenie przez Cyfrowy Polsat S.A. zapisów ustawy o ochronie danych osobowych art. 24 ust. 1 oraz art. 32 ust. 1 i 2 oraz rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Stwierdzone naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy  z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych. Jednocześnie, Prezes UODO nałożył na Cyfrowy Polsat S.A. karę administracyjną w wysokości 1 136 975 PLN.

Co znaczące w tej sprawie, sama spółka Cyfrowy Polsat S.A. (dalej także: Spółka) regularnie zgłaszała Prezesowi UODO naruszenia ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów Spółki lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów. 

Jednocześnie, w piśmie z lipca 2020 r. przedstawione zostały Spółce ogólne wyniki analizy zgłoszeń naruszeń ochrony danych osobowych dokonanych przez nią w czerwcu 2020 r.  Prezes UODO podkreślił, że wraz z wyjaśnieniami należy złożyć dowody na ich potwierdzenie. Spółka pouczona została także, że brak złożenia wyjaśnień i dowodów na ich potwierdzenie w ww. zakresie może skutkować nałożeniem administracyjnej kary pieniężnej. Analiza zebranego w sprawie materiału wykazała, że Spółka nie przedstawiła dostatecznych dowodów na podejmowane przez nią działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia.  W zakresie określonym przez pismo Prezesa UODO, w którym zwrócono się o wskazanie  technicznych i organizacyjnych środków ochrony wdrożonych przez Cyfrowy Polsat S.A., by od razu stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą, Spółka nie wskazując, czy wdrożone zostały środki techniczne bądź proceduralne, jedynie poinformowała, że „wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie danych.”

Z dołączonej przez Spółkę korespondencji e-mail wynikało jednak, że w maju  2020 r. wyjaśniane były tylko naruszenia związane z przesyłkami nadanymi w grudniu 2019 r. oraz w styczniu i lutym 2020 r., co poddało w wątpliwość wyżej cytowane informacje Spółki w zakresie bieżącego wyjaśniania z przewoźnikiem przypadków naruszeń. Spółka podkreśliła, że dokonując rzeczonych zawiadomień (zarówno do Prezesa UODO, jak i do podmiotów danych), Spółka nie popadała w zwłokę – bowiem realizowała je niezwłocznie po stwierdzeniu naruszenia (tj. niezwłocznie po poinformowaniu jej o zdarzeniu stanowiącym  o naruszeniu ochrony danych przez firmę kurierską). Spółka wskazała ponadto, że upływ dłuższego czasu pomiędzy zdarzeniami prowadzącymi do naruszenia ochrony danych osobowych,  a zgłoszeniami dokonanymi przez Spółkę do Prezesa UODO oraz do osób, których dane dotyczyły, nie był wynikiem zwłoki Spółki, jako administratora danych, lecz niewywiązywania się przez firmę kurierską z umownego i ustawowego obowiązku niezwłocznego zgłoszenia naruszenia ochrony danych osobowych administratorowi danych.  

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje: 

Spółka Cyfrowy Polsat S.A. w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowiło naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Wskazać też należy, że Cyfrowy Polsat S.A. pomimo wdrożenia polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym czyli firmą kurierską, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.

Jak wykazało postępowanie, realne działania w tym zakresie podjęte przez Cyfrowy Polsat S.A. zostały dopiero w związku z pismem Prezesa UODO z lipca 2020 r., w którym przedstawione zostały wyniki analiz naruszeń ochrony danych osobowych zgłaszanych przez Spółkę, przeprowadzonych w UODO, a następnie w związku ze wszczęciem przedmiotowego postępowania administracyjnego. Przed otrzymaniem pisma Prezesa UODO, w którym przedstawione zostały analizy terminowości identyfikacji naruszeń, Spółka co prawda zwracała się do podmiotu świadczącego usługi kurierskie o wyjaśnienia przyczyn opóźnienia, ale jak wskazuje zebrany w sprawie materiał dowodowy, były to działania następcze, które nastąpiły już po zaraportowaniu zdarzeń przez podmiot świadczący usługi kurierskie i dotyczyły wyjaśniania przyczyn opóźnień w zgłoszeniach naruszeń zdarzeń nawet sprzed kilku miesięcy od daty zaraportowania.

Jak zauważył Prezes UODO, możliwe było wcześniejsze podjęcie przez Spółkę skutecznych działań mających na celu zminimalizowanie skali naruszeń, jak również szybsze identyfikowanie naruszeń związanych z dostarczaniem przesyłek kurierskich, nawet pomimo okresu pandemii. Potwierdza to również brak stosowania przez Spółkę przed wszczęciem postępowania administracyjnego odpowiednich środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych i szybką identyfikację naruszeń ochrony danych osobowych, a w konsekwencji  naruszenie w tym zakresie wyżej przywołanych przepisów rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Spółce naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.

fot. pixabay