Wysokie kary za brak niezwłocznego powiadomienia UODO o incydencie

Tylko w marcu 2024 r. Prezes Urzędu Ochrony Danych Osobowych wydał dwie decyzje nakładające wysokie kary finansowe na administratorów danych. Obie dotyczyły braku natychmiastowego poinformowania organu o stwierdzonym naruszeniu bezpieczeństwa danych osobowych. Jakie praktyczne wskazówki mogą wyciągnąć z nich administratorzy danych? 

Ponad milion za brak współpracy z organem

Prawie 1,5 mln zł kary finansowej – to kara, jaką otrzymał Santander Bank Polska S.A. za: 

• Brak zgłoszenia do UODO incydentu ochrony danych, który polegał na upublicznienia dokumentów bankowych znajdujących się w porzuconej na osiedlu przesyłce, po tym jak została ona wcześniej skradziona w czasie transportu w firmie kurierskiej. Organ dowiedział się o zdarzeniu z artykułu internetowego w sierpniu 2022 r., a doszło do niego w listopadzie 2018 r.; 
• Brak poinformowania 158 osób, których dotyczyło naruszenie o jego zaistnieniu i ryzykach jakie mogą się z nim dla nich wiązać. 

Z kolei Toyota Bank Polska S.A. ukarana została kwotą ponad 48 tysięcy złotych za: 

• niezgłoszenie Prezesowi UODO bez zbędnej zwłoki naruszenia ochrony danych osobowych w postaci wysłania – na skutek błędu pracownika Banku przesyłki zawierającej umowę i harmonogram spłaty kredytu do innego klienta Banku. Bank zarejestrował incydent, jednak nie dokonał zgłoszenia organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia, a dopiero po prawie 1,5 roku!

Co zadecydowało o wysokich karach? 

Z uzasadnienia decyzji UODO wynika, że okolicznościami przemawiającymi za wymierzeniem tak dotkliwych kar były w szczególności: 

• W przypadku Toyota Bank – brak niezwłocznego poinformowania Prezesa UODO o naruszeniu. To pozbawiło organ możliwości właściwej reakcji na naruszenie i analizy treści zawiadomienia klienta, pod kątem wypełnienia przez Administratora obowiązków wynikających z przepisów RODO i udzielenia kompletnych informacji co do możliwych konsekwencji naruszenia i możliwych środków, by uchronić się przed potencjalnymi skutkami naruszenia. 
• Fakt, że ukarany podmiot nie wykazał, że podmiot, któremu ujawniono omyłkowo dane osobowe, może zostać uznany za tzw. zaufanego odbiorcę. 
• ocena ryzyka dokonana w obydwu sprawach nie uwzględnia perspektywy klientów banków, które w wyniku naruszenia ochrony ich danych osobowych, z wysokim prawdopodobieństwem, mogły ponieść co najmniej szkodę niemajątkową. Tymczasem doszło do ujawnienia takich danych jak imiona, nazwiska, nr PESEL, dane dot. zawartych umów, dane adresowe. 
• Naruszenie poufności danych spowodowało jednocześnie bezprawne ujawnienie informacji objętych tajemnicą bankową – co dodatkowo zwiększyło powagę naruszenia i wskazuje na możliwość wystąpienia negatywnych skutków zdarzenia dla podmiotów danych. 
• W przypadku Santander – całkowite zaniechanie obowiązku zawiadomienia Prezesa UODO o naruszeniu, a w przypadku Toyota Bank – niemal 18 miesięczny okres naruszenia w tym zakresie (dopiero na skutek skargi do organu wniesionej przez klientkę, której dane ujawniono). 
• Umyślny charakter naruszeń – obydwa podmioty z pełną świadomością i premedytacją nie dokonały niezwłocznego zgłoszenia. 
• Wcześniejsze naruszenia w zakresie ochrony danych osobowych w przypadku Santander. 

Co omawiane decyzje oznaczają dla administratorów?

Z obydwu decyzji wyciągnąć można zasadniczy wniosek dotyczący tego jak istotne jest niezwłoczne zawiadomienie organu nadzoru o każdym przypadku naruszenia bezpieczeństwa danych osobowych, o ile tylko naruszenie praw i wolności osób, których ono dotyczyło nie jest mało prawdopodobne. 

Jak wskazał Prezes UODO „Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń (…) Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia.” 

W ten sposób Prezes UODO wyraźnie wskazuje na cel zawiadomienia, ale również i samych przepisów o ochronie danych, których założeniem jest odpowiednie zabezpieczenie interesów osób fizycznych i ochrona przed negatywnymi dla nich skutkami m.in. nieuprawnionego ujawnienia ich danych.