Jedna decyzja i dwie kary finansowe
11 lutego 2022 r. na stronie UODO pojawiła się informacja o rekordowej karze dla administratora za naruszenie ochrony danych. Polski organ nadzorczy ochrony danych Prezes UODO nałożył w dniu 19 stycznia 2022 r. kary na dwa podmioty – decyzja numer DKN.5130.2215.2020.
Link do źródła informacji oraz link do treści decyzji
To dość nietypowa decyzja, gdzie w jednym orzeczeniu został ukarane dwa podmioty. Zarówno administrator jak i podmiot przetwarzający. W całym procesie przetwarzania i świadczenia usług przez procesora na rzecz administratora zaistniało wiele błędów. Oto kilka z nich:
(-) procesor działał niezgodnie z powszechnie znanymi normami ISO na które we własnych politykach się powoływał,
(-) procesor działał niezgodnie postanowieniami własnej „Polityki bezpieczeństwa”,
(-) procesor nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych,
(-) procesor w systemie testowym użył prawdziwych danych osobowych,
(-) administrator nie wymagał od podmiotu przetwarzającego przedstawienia dokumentacji oceny ryzyka,
(-) administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.
W wyniku szeregu błędów i zaniedbań doszło do naruszenia i to właśnie było przyczyną nałożenia administracyjnych kar finansowych. Te wniosku UODO nie są może jakoś specjalne nowe, ale to co jest pewnego rodzaju nową jakością w tej decyzji, to wniosek jaki nasuwa się po analizie jej treści. A mianowicie, że zapisane w art. 28 ust. 3 lit h) RODO prawo do audytowania procesora w powiązaniu z art. 32 ust.1 lit. d) RODO nie jest “uprawnieniem” a “obowiązkiem” . Co w rezultacie sprowadza się do obowiązkowego audytowania procesów przetwarzania, które został powierzone podmiotom przetwarzającym.
Trudno się nie zgodzić z takim podejściem, skoro audyty są poprzecznie uznawane za środek organizacyjny służący zapewniania bezpieczeństwa przetwarzania danych osobowych. Jeśli takie podejście polskiego organu się utrwali, będzie to oznaczyło więcej pracy i współpracy pomiędzy administratorami a procesorami.
29 maja 2022 r.
Tomek