Wejście w życie przepisów RODO zdeterminowało wszystkie firmy oraz instytucje publiczne do przykładania większej uwagi do spraw ochrony danych osobowych, a w szczególności do przeprowadzania stosownych analiz ryzyka. Wszelkie niedopatrzenia w tym względzie mogą narazić przedsiębiorstwo na wysoką karę finansową.
Przekonała się o tym ENEA, która w wyniku błędu współpracownika została ukarana przez Prezesa UODO.
Kara dla ENEA za wyciek danych osobowych
Na początku marca cały kraj obiegła informacja o administracyjnej karze pieniężnej w wysokości ponad 136 tysięcy złotych, jaką Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę ENEA. Z czego wynika taka wysokość kary? Z braku zgłoszenia przez administratora naruszenia ochrony danych osobowych, które spowodował jeden ze współpracowników spółki.
Wysłał on wiadomość e-mail, zawierającą niezaszyfrowany i niezabezpieczony hasłem załącznik z danymi osobowymi kilkuset osób. Lista z imionami, nazwiskami, adresami e-mail, numerami telefonów oraz datami rejestracji trafiła w ten sposób do nieuprawnionej osoby, która przekazała UODO informację o naruszeniu ochrony danych osobowych. Problem w tym wypadku polega na tym, że takiego zgłoszenia powinna dokonać sama spółka, do czego niestety nie doszło. Doprowadziło to w konsekwencji do wszczęcia przez UODO postępowania administracyjnego, które zakończyło się dla przedsiębiorstwa wspomnianą już karą finansową.
Brak zgłoszenia powodem problemów spółki
W zaistniałej sytuacji UODO zwrócił się do spółki ENEA z prośbą o wyjaśnienie, przedstawienie jej analizy oraz ocenienie, czy w tym wypadku nie będzie konieczne zawiadomienie organu nadzorczego oraz osób, których dane znajdowały się w wiadomości. Z odpowiedzi firmy dowiedzieliśmy się, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. W jej wyniku spółka uznała zgłoszenie naruszenia UODO za zbędne, ponieważ:
- dane osób znajdujących się w e-mailu nie miały szczególnego charakteru i nie pozwalały na określenie zachowań czy preferencji;
- dane nie zawierały numeru PESEL, w związku z czym zachodziła ograniczona możliwość identyfikacji konkretnych osób;
- administrator zna tożsamość adresata e-maila, a dodatkowo otrzymał od niego oświadczenie o trwałym zniszczeniu załącznika.
Co więcej, ENEA wystosowała pismo, w którym przedstawiono przebieg dokonanej przez spółkę analizy ryzyka oraz podjęte środki zaradcze, mające pozwolić na wyeliminowanie negatywnych skutków dla osób, których dane zostały ujawnione.
UODO uznało to za niewystarczające, posiłkując się również tym, że oświadczenie niewłaściwego adresata zostało otrzymane dopiero po 5 dniach, co mogło być wystarczającym czasem np. na ich udostępnienie albo wykonanie kopii (jeszcze przed trwałym usunięciem załącznika).
Dokonana analiza ryzyka nie przekonała więc UODO. Podstawą decyzji organu był brak zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. Decyzja wynika również z ryzyka utraty przez poszkodowane osoby kontroli nad własnymi danymi, które mogłyby posłużyć osobom trzecim np. do kontaktu z poszkodowanymi, próby wyłudzenia od nich dodatkowych danych albo założenia kont w serwisach społecznościowych, co mogłoby narazić poszkodowanych na niepożądane konsekwencje. Co ciekawe, kara mogła być jeszcze wyższa, ale urząd uwzględnił okoliczności łagodzące w postaci działań podjętych przez administratora, które miały na celu zminimalizowanie szkody.
Pełną treść decyzji Prezesa UODO można odnaleźć w tym miejscu.
Enea nie daje za wygraną
Czy tak wysoka kara pieniężna jest adekwatna do przewinienia spółki?
Jest to przedmiotem dyskusji, ponieważ UODO nie wykazał, dlaczego ocena ryzyka została przeprowadzona niepoprawnie i nie zakwestionował samej metodyki jej przeprowadzenia. Uznano po prostu, że poziom ryzyka jest inny, niż ten przedstawiony przez spółkę i na tej podstawie można ukarać przedsiębiorstwo. Co więcej, dawno nie było sytuacji, w której wyznaczenie kary ma miejsce za samo naruszenie ochrony danych osobowych, bez przeprowadzenia kontroli.
Zdaniem wielu specjalistów z branży maksymalną karą w tej sytuacji powinno być upomnienie, a tak wysoka grzywna może doprowadzić do tego, że UODO będzie od tego momentu otrzymywać co chwilę informacje o każdym niepoprawnie wysyłanym e-mailu.
Oczywiście sprawa ta wciąż, pomimo oficjalnego stanowiska UODO, nie jest zamknięta. Kierownik biura PR ENEA Piotr Ludwiczak zapowiedział odwołanie się od tej decyzji, ponieważ została uznana za krzywdzącą.
Według spółki zaistniała sytuacja nie wymagała zgłoszenia naruszenia ochrony danych osobowych, ponieważ natychmiast po zdarzeniu dokonana została rzetelna ocena ryzyka, zgodnie z którą wykazano, że dane znajdujące się w e-mailu nie pozwalały na pełną identyfikację osób, a dodatkowo podjęte zostały działania uniemożliwiające wykorzystanie danych w nieodpowiedni sposób w przyszłości.
Jak uchronić się przed taką sytuacją?
Niezależnie od tego, czy decyzja UODO w tej sprawie znajdzie potwierdzenie w wyroku wojewódzkiego sądu administracyjnego, najważniejsze jest zabezpieczanie się przed tego rodzaju sytuacjami – nawet jeżeli miałyby one wynikać z niedopatrzenia, albo błędu osoby trzeciej (tak jak w tym wypadku – współpracownika spółki).
Kluczem do skutecznej ochrony danych jest oczywiście kompleksowa analiza ryzyka potencjalnego i odpowiednie zabezpieczenie danych osobowych, w czym pomóc może narzędzie RED INTO GREEN. Zapewnia ono możliwość przeprowadzenia rzetelnej analizy pod kątem doboru adekwatnych środków technicznych i organizacyjnych, a także oceny skutków dla ochrony danych (DPIA).
Co istotne, sama obsługa aplikacji przypomina pracę w Excelu, czyli środowisku powszechnie znanym większości Inspektorów, co znacząco ułatwia przeprowadzanie analiz i ocen.
Jak zakończy się sprawa ze ENEA? Czas pokaże. My natomiast zachęcamy do zapoznania się z analizą innej decyzji, którą przeprowadził nasz specjalista Marcin Błoński. Dotyczy ona oceny ryzyka potencjalnego w Virgin Mobile i znajdziesz ją w tym miejscu.