W grudniu ubiegłego roku Urząd Ochrony Danych Osobowych wykazał się znaczną aktywnością. UODO nałożył trzy kary pieniężne, których łączna wysokość wynosi ponad 3 miliony złotych.
Pierwsza z nich dotyczy spółki Virgin Mobile Polska sp. z o.o. (operator sieci komórkowej) i została nałożona za brak zapewnienia poufności danych oraz rozliczalności działań administratora. Decyzję wydano w wyniku kontroli przeprowadzonej po zgłoszeniu przez Virgin Mobile Polska naruszenia ochrony danych osobowych. Urząd uznał między innymi, że operator nie wykonywał regularnych i kompleksowych testów, pomiarów i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Ponadto zdaniem organu nie testowano zabezpieczeń związanych z przekazywaniem danych między aplikacjami wykorzystywanymi do obsługi osób kupujących usługi przedpłacone. W efekcie UODO nałożył karę w wysokości 1,9 mln złotych.
Drugą decyzję wydano w stosunku do Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A. Organ ukarał spółkę po otrzymaniu od osoby trzeciej informacji o naruszeniu ochrony danych osobowych, które polegało na wysłaniu mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym Warty, polisy ubezpieczeniowej do nieuprawnionego adresata. Dokumenty zawierały imię, nazwisko, numer PESEL, adres zamieszkania oraz szczegóły dotyczące ubezpieczonego samochodu osobowego. W toku postępowania spółka wyjaśniała, że wysyłka ww. danych na błędny adres nastąpiła z powodu podania przez klienta błędnego adres poczty elektronicznej. Urząd wziął pod uwagę tę okoliczność, jednocześnie stwierdzając, że tego typu sytuacja stanowi naruszenie ochrony danych osobowych, które powinno zostać zgłoszone organowi w terminach przewidzianych w RODO. Ostatecznie UODO postanowił nałożyć na Wartę karę pieniężna w wysokości 85 588 złotych.
Ostatnia kara w 2020 roku dotyczyła spółki ID Finance Poland sp. z o.o., która jest właścicielem portalu pożyczkowego MoneyMan.pl. Firma nie zareagowała prawidłowo na informacje o lukach bezpieczeństwa w jednym z jej serwerów. Doprowadziło to do skopiowania danych przez nieuprawnioną osobę, które następnie skasowała ja z serwera. Za zwrot wykradzionych informacji cyberprzestępca zażądał okupu. Dopiero wówczas ID Finance Poland rozpoczęła weryfikacje zabezpieczeń i zgłosiła naruszenie ochrony danych. UODO uznał, iż administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać incydent w celu ustalenia, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze. Po zakończeniu postępowania organ nałożył na spółkę karę w wysokości 1 069 850 złotych.
O tym, że ochrona prywatności ma praktyczne znaczenie, mogli przekonać się ostatnio użytkownicy pakietu Microsoft 365. W mediach rozgorzała bowiem dyskusja o wprowadzonym rok temu narzędziu umożliwiającym weryfikowanie produktywności pracowników korzystających z pakietu.
Zdaniem Microsoftu, narzędzie służy pracodawcom przede wszystkim w celu sprawdzenia, jak wykorzystywane są aplikacje wchodzące w skład Microsoft’u 365. Dodatkowo możliwe jest jego wyłączenie. Niektórzy nie zgadzają się jednak ze stanowiskiem firmy, wskazując na możliwości, jakie posiada pracodawca. Aplikacja pozwala m.in. zweryfikować, jak wiele maili wysyłają poszczególni pracownicy, jak często uczestniczą w rozmowach grupowych, czy w jaki sposób udostępniają dokumenty.
O ile dyskusyjnym pozostaje, czy narzędzie może posłużyć do inwigilacji w pełnym tego słowa znaczeniu, o tyle raczej nie można mieć złudzeń, iż wykorzystywane tego typu rozwiązań informatycznych ma wpływ na samopoczucie pracowników i komfort ich pracy. Sama świadomość, że pracodawca ma możliwość kontroli, w jaki sposób używane są podstawowe programy komputerowe, u wielu osób budzi niepokój i poczucie, że znajdują się pod nieustanną kontrolą, nawet jeśli nie jest to kontrola np. w postaci monitoringu czy dostępu do przeglądanych treści.
Administrator i podmiot przetwarzający – jak rozumieć te pojęcia? Europejska Rada Ochrony Danych przedstawiła nowe wytyczne w tej sprawie. Dokument oprócz rozważań mających charakter teoretyczny zawiera również wiele praktycznych przykładów wyjaśniających, jak ustalać rolę danego podmiotu na gruncie RODO.
Ostateczna treść wytycznych będzie znana niedługo, po rozpoznaniu uwag wniesionych w ramach konsultacji publicznych.
Wytyczne są dostępne tutaj.
