O tym, że lepiej zgłaszać naruszenia, niż nie zgłaszać, przekonał się wiodący dostawca energii elektrycznej – spółka ENEA S.A.
Lekcja ta kosztowała ją 136 437 zł (czyli 30 000 euro). Co się dokładnie wydarzyło, za co PUODO nałożył taką karę i jak uniknąć takich sytuacji u siebie?
Naruszenie, za które ENEA S.A. nie dostała (jeszcze?) kary z RODO
Historia zaczyna się od wiadomości email, którą pewna osoba otrzymała wraz z niezabezpieczonym załącznikiem. W załączniku znajdowały się dane osobowe kilkuset (dokładnie 259) osób. Te dane to imiona, nazwiska, adresy e-mail i daty rejestracji. Nadawcą maila była osoba współpracująca z ENEA S.A.
Mamy więc klasyczne naruszenie, za które bohaterka naszej opowieści NIE dostała kary (przynajmniej na razie).
Osoba, która była przypadkowym adresatem tej wiadomości email poinformowała PUODO o naruszeniu. Zrobiła to w przeciwieństwie do ENEA S.A. i tu właściwie przechodzimy do sedna.
Za co ENEA S.A. dostała karę RODO
ENEA nie zgłosiła wspomnianego naruszenia do PUODO. Urząd zażądał wyjaśnień. Spółka poinformowała PUODO o tym, że wie o naruszeniu. Stwierdziła jednocześnie, że naruszenie to zostało przez nią przeanalizowane i na podstawie tej analizy ENEA stwierdziła, że zgłoszenie do PUODO nie jest konieczne.
Argumentowała to następująco:
- dane nie miały szczególnego charakteru,
- przypadkowy adresat jest jej znany i oświadczył, że zniszczył załącznik,
- ze względu na szybko podjęte działania, wyeliminowano możliwość powstania negatywnych skutków dla osób, których dane znalazły się w feralnym załączniku.
Nie trzeba chyba dodawać, że PUODO nie podzielił tych argumentów.
Kto ma rację – ENEA S.A., czy PUODO?
Wydaje się, że argumentacja ENEA S.A. i podjęte przez nią działania są sensowne. ENEA S.A. znała osobę, która otrzymała wiadomość z załącznikiem zawierającym dane osobowe. Otrzymała od niej oświadczenie, że załącznik ten został zniszczony. Oczywiście jest to trudne do zweryfikowania. Jednak trzeba być realistą. W tym zakresie ENEA niewiele mogła zrobić, poza odebraniem takiego oświadczenia i zaufaniem w jego prawdziwość.
ENEA argumentowała, że dane nie miały szczególnego charakteru. Niby tak. Choć dla potencjalnego oszusta nie jest problemem, by taki zakres danych połączyć z innymi informacjami o osobie dostępnymi w sieci (np. PESELem widniejącym w KRS) i wziąć pożyczkę na nieświadomą ofiarę wycieku danych.
Pomijając powyższe, należy sobie zdać sprawę z dwóch faktów.
Po pierwsze – wielu administratorów ma tendencję do tego, by lekceważyć naruszenia i interpretować je w taki sposób, aby nie trzeba było ich zgłaszać do PUODO.
Po drugie – PUODO takie sytuacje ma w zwyczaju oceniać bardzo surowo. Administrator powinien więc z góry zakładać, że ocena takiego zdarzenia przez organ może być skrajnie inna od oceny administratora.
Co można było zrobić, aby zapobiec karze?
Chciałbym móc napisać z pełnym przekonaniem, że zgłoszenie naruszenia byłoby najlepszym wyjściem. Jednak PUODO karał już surowo podmioty, które zgłosiły własne naruszenia. Oczywiście w uzasadnieniu Urząd wspominał, że wymiar kary jest niższy ze względu na kroki podjęte przez administratora. Czasem budzi to wątpliwości, ale prawda jest taka, że czytamy tylko decyzje, nie mając pełnych danych o naruszeniu i jego pełnym kontekście. Pozostaje nam zaufanie wiara, że te rozstrzygnięcia są prawidłowe.
Z drugiej strony nie potrafię zrozumieć panicznego lęku przez zgłaszaniem naruszeń do PUODO. Zdarzało nam się zgłaszać naruszenia. Komunikacja z organem była raczej przyjazna, a podejście racjonalne.
Wychodzę więc z założenia, że najlepszym sposobem, by historia ENEA S.A. nie powtórzyła się w Twojej firmie jest:
- rzetelnie (a nawet krytycznie) oceniać naruszenia,
- jakiekolwiek wątpliwości traktować jako argument ZA zgłoszeniem,
- przeprowadzić szczegółowy audyt obszaru, w którym do naruszenia doszło i usnąć wszelkie nieprawidłowości (będzie to argument za zmniejszeniem lub uniknięciem ewentualnej kary).
Tradycyjnie – ucz się na błędach
Zawsze polecam, by śledzić kary nakładane w związku z RODO. Szczególnie te z naszego podwórka. Wiedząc za co organy nadzorcze nakładają grzywny, łatwiej jest podejmować decyzje w swojej firmie i zabezpieczyć się przed otrzymaniem kary.
Teraz możesz wyciągnąć wnioski z kary nałożonej na ENEA S.A. Zobacz również jakie kary za naruszenie RODO nałożono w całej Europie.
Źródła:
https://uodo.gov.pl/pl/138/1944https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020
Decyzja PUODO:
https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.