Kontakt


NewTechLaw.eu sp. z o.o.
 
Adres:
ul. Telimeny 38/5
30-838 Kraków
Polska
KRS 0001059923
NIP/VAT PL6793277655
REGON 52646618000000
Email:
biuro@newtechlaw.eu
Zarząd:
Szczepan WATRAS - członek zarządu
Tomasz IZYDORCZYK - członek zarządu

Contact


NewTechLaw.eu sp. z o.o.
 
Address:
ul. Telimeny 38/5
30-838 Kraków
Poland
KRS 0001059923
NIP/VAT PL6793277655
REGON 52646618000000
Email:
biuro@newtechlaw.eu
Management:
Szczepan WATRAS - Member of the Board
Tomasz IZYDORCZYK - Member of the Board


Jedna decyzja i dwie kary finansowe

11 lutego 2022 r. na stronie UODO pojawiła się informacja o rekordowej karze dla administratora za naruszenie ochrony danych. Polski organ nadzorczy ochrony danych Prezes UODO nałożył w dniu 19 stycznia 2022 r. kary na dwa podmioty – decyzja numer DKN.5130.2215.2020.

Link do źródła informacji oraz link do treści decyzji

To dość nietypowa decyzja, gdzie w jednym orzeczeniu został ukarane dwa podmioty. Zarówno administrator jak i podmiot przetwarzający. W całym procesie przetwarzania i świadczenia usług przez procesora na rzecz administratora zaistniało wiele błędów. Oto kilka z nich:

(-) procesor działał niezgodnie z powszechnie znanymi normami ISO na które we własnych politykach się powoływał,

(-)  procesor działał niezgodnie postanowieniami własnej „Polityki bezpieczeństwa”,

(-) procesor nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych,

(-) procesor w systemie testowym użył prawdziwych danych osobowych,

(-) administrator nie wymagał od podmiotu przetwarzającego przedstawienia dokumentacji oceny ryzyka,

(-) administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.

W wyniku szeregu błędów i zaniedbań doszło do naruszenia i to właśnie było przyczyną nałożenia administracyjnych kar finansowych. Te wniosku UODO nie są może jakoś specjalne nowe, ale to co jest pewnego rodzaju nową jakością w tej decyzji, to wniosek jaki nasuwa się po analizie jej treści. A mianowicie, że zapisane w art. 28 ust. 3 lit h) RODO prawo do audytowania procesora w powiązaniu z art. 32 ust.1 lit. d) RODO nie jest “uprawnieniem” a “obowiązkiem” . Co w rezultacie sprowadza się do obowiązkowego audytowania procesów przetwarzania, które został powierzone podmiotom przetwarzającym.

Trudno się nie zgodzić z takim podejściem, skoro audyty są poprzecznie uznawane za środek organizacyjny służący zapewniania bezpieczeństwa przetwarzania danych osobowych. Jeśli takie podejście polskiego organu się utrwali, będzie to oznaczyło więcej pracy i współpracy pomiędzy administratorami a procesorami.

29 maja 2022 r.
Tomek