PUODO nie wiedzie może prymu w nakładaniu kar finansowych. Gdy już to jednak uczyni, to robi to konkretnie. Wszyscy pamiętamy karę z RODO nałożoną na sklep internetowy Morele.net.
Kara z RODO dla Cyfrowy Polsat S.A. wyniosła 1,1 mln złotych. Choć nie przebiła rekordowej, również robi wrażenie.

Proces biznesowy drogą do kary z RODO – jak to się zaczęło?

Cyfrowy Polsat S.A. ma klientów – to oczywiste. Z tymi klientami musi się komunikować. Również przesyłać korespondencję. W korespondencji tej znajdują się dane osobowe w dość szerokim zakresie. W swojej decyzji PUODO wymienia:

  • imię i nazwisko,
  • adres zamieszkania lub pobytu,
  • numer PESEL,
  • adres e-mail,
  • seria i numer dowodu osobistego bądź innego dokumentu tożsamości,
  • numer telefonu
  • dane dotyczące łączących strony umów.

Powiedzmy sobie szczerze – bardzo łatwy materiał na kradzież tożsamości.

Oczywiście można wysyłać tego typu dane, ale… muszą one trafiać do adresata.
W przypadku przesyłek nadawanych przez Cyfrowy Polsat S.A. nie zawsze tak było.

Co stwierdził PUODO?

Właściwie należałoby zacząć od tego co stwierdził Cyfrowy Polsat. A stwierdził, że ich przesyłki wysyłane za pośrednictwem firmy kurierskiej nie zawsze docierają do (właściwego) adresata.
Albo są doręczane niewłaściwej osobie, albo giną.
Taka sytuacja stanowi naruszenie ochrony danych osobowych, które należy zgłosić do PUODO. Cyfrowy Polsat robił to, ale z dużym opóźnieniem. Działo się tak dlatego, że sami z opóźnieniem dowiadywali się o naruszeniach od firmy kurierskiej.

Wina Polsatu, czy kuriera?

Niestety (dla Cyfrowego Polsatu) PUODO dostrzega tu winę administratora. Dlaczego?
Ponieważ, jak w swoim komunikacie podaje Urząd: „to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.”
Poniekąd jest to stwierdzenie słuszne. Będąc administratorem, masz obowiązek zadbania o dane, które przetwarzasz. Również poprzez wybór podwykonawców i nadzorowanie tego jak wywiązują się oni z umowy. Niewątpliwie PUODO powinien pójść po nitce do kłębka i zająć się również firmą kurierską. Jednak wina Cyfrowego Polsatu wydaje się niepodważalna.

Co można było zrobić, aby zapobiec karze?

Raczej oczywistym jest, że tego typu naruszeniom nie da się zapobiec. Przy dużej skali wysyłek na pewno coś zginie i na pewno coś zostanie nieprawidłowo doręczone. Sęk w tym, aby wiedzieć o tym odpowiednio wcześnie i reagować. I oczywiście, skoro takie rzeczy się dzieją, należy minimalizować częstotliwość ich wystąpienia oraz skutki.

PUODO w swoim komunikacie pisze: „było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie. Jednak dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę uległ znacznemu skróceniu. Szybsze identyfikowanie naruszeń, a co za tym idzie zawiadamianie osób, których dane dotyczą, o naruszeniu ich danych osobowych, umożliwia tym osobom podjęcie odpowiednich działań mających na celu zminimalizowanie negatywnych skutków tych naruszeń.”

Oczywiście brak tu jest opisu szczegółowych rozwiązań, ale mogę się pokusić o małą podpowiedź.

Jeśli nie wysyłasz zbyt wielu przesyłek, możesz na bieżąco monitorować system śledzenia firmy kurierskiej. Znając umowne czasy doręczenia, będziesz w stanie na bieżąco wykrywać potencjalne nieprawidłowości i reagować na nie.

Jeśli wysyłasz wiele przesyłek ta metoda może się nie sprawdzić. Ręczne sprawdzanie systemu śledzenia przesyłek w firmie kurierskiej będzie wtedy uciążliwe. Przy masowej korespondencji może być wręcz niewykonalne. Jednak wiele firm kurierskich udostępnia swoje narzędzie programistyczne. Pozwolą one zintegrować Twoje systemy programistyczne z systemem firmy kurierskiej. Śledzenie przesyłek i wykrywanie ewentualnych nieprawidłowości można w ten sposób zautomatyzować.

Na koniec – pamiętaj…

Jeśli jesteś administratorem danych osobowych, to Ty odpowiadasz za ich bezpieczne przetwarzanie. To, że powierzasz przetwarzanie innemu podmiotowi, nie zwalnia Cię z odpowiedzialności. Można pokusić się o stwierdzenia, że nawet ją zwiększa.
Musisz ocenić czy podmiot, które mu powierzasz przetwarzanie danych osobowych jest w stanie przetwarzać je bezpiecznie. Czy spełnia wymagania RODO i Twoje. Sama ocena nie zwalnia Cię też z obowiązku monitorowania, czy przetwarzanie przebiega prawidłowo i reagowania na nieprawidłowości.

Wyciągnij więc wnioski z błędów Cyfrowego Polsatu i z błędów innych podmiotów, które otrzymały kary za naruszenie RODO

Źródła:
https://uodo.gov.pl/pl/138/2048
Decyzja PUODO:
https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020

Podziel się

Przydatne? Podziel się ze znajomymi.