10 GRU 2020

Omawiamy kary za naruszenia RODO. Czy jest się czego obawiać?

kara rodo radca prawny

Od wejścia w życie RODO minęły już ponad dwa lata. Jest to okres wystarczający do tego, aby przyjrzeć się komu, za co oraz w jakiej wysokości Prezes Urzędu Ochrony Danych Osobowych wymierzył kary finansowe. Jest to druga część artykułu. Zapraszamy do przeczytania poprzedniej, aby mieć pełny przegląd naruszeń, w których wyniku ukarane zostały firmy oraz instytucje.

Brak zawartej umowy powierzenia przetwarzania danych osobowych

Prezes UODO nakłada kary nie tylko na firmy, ale także na podmioty z sektora publicznego, o czym przekonał się Burmistrz Aleksandrowa Kujawskiego. Organ nadzorczy w dniu 18 października 2019 r. nałożył na burmistrza karę pieniężną w wysokości  40.000, 00 zł.

Kara została nałożona za klika naruszeń, które zostały wykryte podczas kontroli, w tym m.in. za brak aktualizacji rejestru czynności przetwarzania danych osobowych, za brak przeprowadzenia analizy ryzyka w związku z korzystaniem z kanału YouTube w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego i przede wszystkim za udostępnienie danych osobowych firmom informatycznym bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych, o których mowa w art. 28 ust. 3 RODO. 

Udostępnienie danych osobowym firmom informatycznym wiązało się ze świadczonymi przeze nie usługami na rzecz Urzędu Miejskiego, tj. z przechowywaniem na swoich serwerach danych zawartych w Biuletynie Informacji Publicznej oraz z serwisowaniem tego Biuletynu.

Pozyskiwanie przez szkołę odcisków linii papilarnych uczniów

Szkoła Podstawowa nr 2 w Gdańsku korzystała z czytnika biometrycznego umieszczonego przy wejściu do stołówki szkolnej, który identyfikował dzieci pobierające posiłki w stołówce, po to aby sprawdzić czy została uiszczenia opłata za posiłek w danym dniu. Szkoła pozyskiwała dane (cyfrowe odwzorowanie linii papilarnych) na podstawie pisemnej zgody rodzica (opiekuna prawnego). Warto jeszcze wspomnieć, że rodzic nie musiał wyrażać ww. zgody, jednakże brak wyrażenia tej zgody skutkował nierównym traktowaniem jego dzieci, gdyż posiłki były wydawane im na końcu, pierwszeństwo w tym przypadku przysługiwało dzieciom rodziców, którzy zezwolili, aby szkoła zbierała odciski linii papilarnych ich dzieci.

Prezes UODO uznał, iż nawet zgoda rodziców nie mogła stanowić podstawy prawnej do zbierania tego rodzaju danych osobowych, dlatego też nakazał szkole usunięcie wszystkich cyfrowych odwzorowań, zakazał ich zbierania w przyszłości, a także wymierzył karę pieniężną w wysokości 20.000, 00 zł.

Kradzież prywatnego laptopa zawierającego dane osobowe kandydatów na studia

W dniu 21 sierpnia 2020 r. Prezes UODO nałożył na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie karę pieniężną opiewającą na kwotę 50. 000, 00 zł. Główną przyczyną dla której organ nadzorczy wymierzył karę był fakt, iż skradziono przenośny prywatny komputer pracownika SGGW pełniącego również funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej. 

Skradziony laptop był używany przez ww. pracownika do celów prywatnych i służbowych, w tym również do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych w ramach pełnionej funkcji sekretarza Uczelnianej Komisji Rekrutacyjnej. Z Systemu Obsługi Kandydatów służącego do przetwarzania danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich  za pomocą zaimplementowanej w nim funkcjonalności, importował na swój prywatny komputer zestawy danych osobowych obejmujących m.in. imię, nazwisko, nazwisko rodowe, imiona rodziców, numer identyfikacyjny PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numer telefonu komórkowego i/lub stacjonarnego, informacje o dotychczasowym wykształceniu, informacje o kwalifikacji na studia.  Uczelnia, będąca administratorem tych danych osobowych, nie posiadała informacji o tym fakcie[1].

To zdarzenie w ocenie Prezesa UODO obnażyło szereg nieprawidłowości i naruszeń przepisów RODO, których dopuściła się Uczelnia, głównie w zakresie nieprzeprowadzenia odpowiedniej analizy ryzyka oraz braku wdrożenia adekwatnych środków organizacyjno – technicznych, co kosztowało SGGW 50.000, 00 zł.

Udostępnienie danych osobowych bez podstawy prawnej  

Główny Geodeta Kraju na portalu GEOPORTAL2 udostępniał informacje w postaci numerów ksiąg wieczystych nieruchomości znajdujących się w zasobach tegoż portalu. Każdy użytkownik portalu poprzez poznanie numeru księgi wieczystej mógł w dość łatwy sprawdzić i pozyskać za pomocą innych urzędowych rejestrów szereg danych osobowych dotyczących np. właścicieli danej nieruchomości. 

Prezes UODO doszedł do wniosku, iż Główny Geodeta Kraju nie legitymował się podstawą prawną do ujawnienia numerów ksiąg wieczystych na GEOPORTALU2 i dlatego też w dniu 24 sierpnia 2020 r. nałożył na niego karę pieniężną w maksymalnej wysokości przewidzianej dla jednostek z sektora finansów publicznych, tj. kwotę 100.000, 00 zł. 

Brak wystarczającej współpracy z Prezesem UODO

Na koniec należy wskazać, iż dość często pojawiającą się sankcją nakładaną przez Prezesa UODO jest kara pieniężna za brak wystarczającej współpracy z tym organem podczas prowadzonej kontroli lub toczącego się postępowania.  

Takie zachowania jak nieudzielanie wyjaśnień pomimo wezwania, albo udzielanie lakonicznych i nieprawdziwych wyjaśnień, odmowa wpuszczenia kontrolerów do siedziby administratora lub inne przejawy utrudniania pracy funkcjonariuszom kończyły się z reguły nałożeniem wysokich kar. Do tej pory najwyższą karę w kwocie 100.000, 00 zł za tego rodzaju przewinienie otrzymał Główny Geodeta Kraju. Była to kara niezależnie od naruszeń, które zostały opisane w poprzednim punkcie.   

Przechodząc do podsumowania przeprowadzonego przez nas przeglądu przypadków naruszeń RODO, za które Prezes UODO nakładał kary pieniężne należy dojść do wniosku, iż organ nadzorczy wymierzał kary z szerokiego spectrum naruszeń, począwszy od braku realizacji obowiązków informacyjnych, aż po wycieki bazy danych powstałe wskutek ataków hakerskich. Ukarane zostały zarówno podmioty z sektora prywatnego jak i jednostki z sektora finansów publicznych. Z pewnością Prezes UODO będzie w dalszym ciągu stał na straży zgodnego z prawem przetwarzania danych osobowych i karał te podmioty, które dopuściły się naruszeń w tym zakresie, co tylko powinno motywować administratorów do ciągłego doskonalenia swoich procedur ochrony danych osobowych. 

[1] https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019

Zapraszamy do śledzenia naszego profilu w serwisie Facebook

 

Umów się na spotkanie
przez internet