Kara
Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.
CO STWIERDZONO W RAMACH KONTROLI?
Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:
- Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych
RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).
W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.
- Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)
Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.
Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.
WYMIAR KARY
Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.
Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.
PODSUMOWANIE
Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.
Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu kontroli w Urzędzie Miasta Aleksandrowa Kujawskiego stwierdził szereg naruszeń przepisów RODO i nałożył na burmistrza miasta karę wynoszącą 40 tys. złotych. Jest to pierwsza kara nałożona na urząd publiczny.
Uchybienia stwierdzone przez PUODO dotyczą:
- umów powierzenia
- zasady ograniczonego przechowywania danych
- tworzenia kopii zapasowych i przeprowadzania analizy ryzyka
- rejestru czynności przetwarzania
Umowy powierzenia
Umowy powierzenia zostały wprowadzone przez RODO z artykułem 28 ust. 3 w celu zalegalizowania procesu przekazywania danych pomiędzy podmiotami oraz zachowania poufności danych. Przepis ten został naruszony przez Urząd Miasta w związku z brakiem zawarcia takich umów z dwoma spółkami. W jednym przypadku nie sformalizowano przekazywania danych w przypadku udostępniania biuletynu BIP urzędu z serwerów spółki, a w drugim przypadku serwisowana tego biuletynu oraz dostarczania oprogramowania do jego stworzenia. Brak umów stanowił również naruszenie zasady przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
Zasada ograniczonego przechowywania danych
Zgodnie z rozporządzeniem, należy systematycznie monitorować, czy podstawa prawna do przetwarzania przez nas danych nadal obowiązuje. Dane osobowe mogą być zbierane tylko w wyraźnie określonym i prawnie uzasadnionym celu. Jeżeli natomiast cel ten ustał, dane takie należy usunąć bądź zanonimizować. Okres przechowywania (retencji) może wynikać wprost z przepisów prawa, a jeżeli w danym przypadku nie jest on uregulowany, to administrator powinien go określić samodzielnie, adekwatnie do celów w jakich te dane przetwarza. Urząd Miasta w Aleksandrowie nie wprowadził procedur takiego przeglądu, i tak na stronie BIP widniały oświadczenia majątkowe najważniejszych urzędników z 2010 r., pomimo tego że dozwolony okres ich przechowywania wynosi 6 lat. W związku z powyższym naruszona została wynikająca z art. 5 ust. 1 lit. e zasada ograniczonego przechowywania danych.
Tworzenie kopii zapasowych i przeprowadzanie analizy ryzyka
Administrator, zgodnie z art. 32 ust. 1 lit. b i c ma obowiązek zapewnić poufność, integralność, dostępność i odporność systemów i usług przetwarzania, a także zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Oznacza to konieczność ochrony danych przed ich uszkodzeniem i zniszczeniem, a także konieczność zapewnienia możliwości przywrócenia uszkodzonych danych do stanu umożliwiającego ich przetwarzanie. Celowi temu służy między innymi opracowanie i wdrożenie procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Podczas omawianej kontroli PUODO, analizując publikację zapisów posiedzeń rady miejskiej w serwisie Youtube, zauważył, że w BIP widnieją jedynie linki do tych nagrań. Urząd nie posiadał żadnych dodatkowych kopii materiałów, które zobowiązany jest publikować, a więc w razie utraty danych zapisanych na Youtube, nie byłby w stanie wywiązać się ze swoich obowiązków. Ponadto RODO wprowadza obowiązek szacowania ryzyka związanego z przetwarzaniem danych osobowych w celu zapewnienia bezpieczeństwa przetwarzania. Po przeprowadzeniu analizy ryzyka możemy stwierdzić czy mamy do czynienia z wysokim ryzykiem i czy konieczne jest przeprowadzenie oceny skutków. Pomaga również w doborze odpowiednich zabezpieczeń. Urząd miasta nie przeprowadził takiej analizy w związku z publikacją nagrań z posiedzeń rady wyłącznie w zewnętrznym serwisie. Niezastosowanie się do powyższych wymogów stanowiło naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Kontrola PUODO wykazała istotne braki w prowadzonym przez Urząd Miasta rejestrze czynności przetwarzania. Przede wszystkim nie było w nim wskazanych wszystkich odbiorców danych. Brakowało również wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Biorąc pod uwagę, że limit kar dla administracji wynosi 100 tysięcy złotych, omawiana kara jest karą wysoką. Ponadto PUODO nakazał podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Po ponad 10 miesiącach od rozpoczęcia stosowania RODO dowiadujemy się o pierwszej nałożonej przez polski organ nadzoru karze za naruszenie postanowień RODO.
W dniu 15 marca br. Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą pieniężną karę administracyjną w wysokości ponad 943 tyś zł. (€ 220.000). Powodem nałożenia kary było świadome niedopełnienie przez administratora danych obowiązku informacyjnego w stosunku do osób fizycznych prowadzących jednoosobową działalność gospodarczą pozyskanych z publicznie dostępnych rejestrów.
Warszawska spółka pozyskała dane osobowe ok. 6 mln osób ze źródeł powszechnie dostępnych, takich jak np. CEIDG, REGON. W stosunku do 90 tyś. osób spółka posiadała m.in. dane kontaktowe (adres, numer telefonu)- osoby te zostały poinformowane o przetwarzaniu ich danych osobowych.
W stosunku do reszty osób, których spółka nie posiadała tych danych (a tylko adres korespondencyjny), spółka podjęta decyzję o nie przesyłaniu obowiązku informacyjnego określonego przez art. 14 RODO bezpośrednio do osób, a spełnienie go poprzez komunikat na stronie internetowej firmy. Spółka powołuje się przy tym na wyłączenie określone w art. 14 ust. 5 pkt b) RODO zgodnie z którym obowiązek informacyjny może być niewykonany, jeżeli jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Zdaniem organu w tym przypadku spółka nie może się powoływać na to wyłączenie, ponieważ miała możliwość kontaktu z tymi osobami np. poprzez przesłanie im listu, którego przesłanie do ok. 5 mln osób mogło kosztować spółkę nawet do 30 mln złotych. Nadmierny koszt nie stanowił również okoliczności łagodzącej przy nałożeniu kary. Dodatkowo spółka został zobowiązana do spełnienia obowiązku w stosunku do osób, które nie zostały wcześniej poinformowane.
Na tak wysoką karę złożyło się również to, że spółka podjęła świadomą decyzję o niespełnieniu obowiązku informacyjnego. Prezes UODO zwrócił przy tym uwagę na to, że kara miała być na tyle wysoka, by ukarany nie wkalkulował jej w koszty swojej działalności. W obecnej chwili spółka ma możliwość odwołania się od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego, co też zapewne zrobi.
LinkedIn wykorzystał nielegalnie adresy e-mail osób niebędących jego użytkownikami, aby ukierunkować kampanię reklamową prowadzoną na Facebooku. Sprawie przyjrzał się bliżej DPC (irlandzki urząd ochrony danych osobowych).
Jak wynika z raportu opublikowanego przez The Data Protection Commissioner (DPC) LinkedIn przetwarzał nielegalnie adresy e-mail około 18 MLN osób niebędących członkami serwisu w celu nadania kierunku reklamie na Facebooku. Skarga do DPC została złożona przez użytkownika spoza LinkedIn, dotyczyła bezprawnego pozyskania i wykorzystania jego adresu e-mail.
Kontrola LinkedIn przeprowadzony przez DPC
W związku ze złożoną skargą przeprowadzana została kontrola, która trwała od 1 stycznia 2018 roku do 24 maja 2018 roku. Podczas niej wykazano, że LinkedIn Corporation (LinkedIn Corp) z siedzibą w USA, przetwarzający dane w imieniu LinkedIn Ireland, przekazał około 18 MLN adresów e-mail osób niebędących użytkownikami w postaci zahasztagowanej lub zakodowanej Facebookowi w celu spersonalizowania reklamy, zachęcającej do rejestracji w serwisie LinkedIn.
Polubowne rozwiązanie skargi
Ostatecznie skarga została polubownie rozwiązana, a LinkedIn wdrożył szereg rozwiązań mających na celu zapobieżenie podobnym sytuacjom poprzez zaprzestanie przetwarzania w powyższy sposób danych.
To jednak nie koniec sprawy. DPC zaniepokojony problemami przeprowadził kolejną kontrolę w celu ustalenia, czy LinkedIn wdrożył odpowiednie środki bezpieczeństwa, ze szczególną uwagą zwróconą w kierunku przetwarzania danych osób niebędących użytkownikami. W rezultacie LinkedIn Ireland poinstruował LinkedIn Corp w sprawie ochrony danych osobowych i zgodnie z ustaleniami kazał usunąć dane osobowe powiązane z takim przetwarzaniem.
Na aprobatę z pewnością zasługują działania, jakie zostały podjęte przez LinkedIn oraz ścisła współpraca z organem nadzoru. Dzięki tak sprawnemu działaniu doszło do zapobieżenia dalszym naruszeniom w zakresie ochrony danych osobowych. Na marginesie należy dodać, że na LinkedIn nie została nałożona kara, ponieważ skarga wpłynęła przed 25 maja 2018 roku, czyli przed rozpoczęciem stosowania RODO, w tym okresie DPC, zgodnie z obowiązującymi uregulowaniami, nie miała kompetencji do nakładania kar finansowych.
Niemiecki serwis randkowy (knuddels.de) został ukarany grzywną 20 tyś. EURO za wyciek danych ponad 2 MLN osób. Do wycieku doszło we wrześniu tego roku. Po upływie kilku miesięcy właściwy organ nadzoru Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Badenii-Wirtembergii) – nałożył na firmę karę w wysokości 20.000 EURO.
Mimo obowiązywania RODO od 25 maja 2018 roku, nadal wiele firm nie uporało się z odpowiednim zabezpieczeniem danych. Wyciek niezanimizowanych danych, brak szyfrowania haseł – wszystko to może mieć katastrofalne skutki. Choć rozporządzenie nie wskazuje jednoznacznie, jakie środki powinny być wdrożone przez podmioty przetwarzające dane osobowe, tak precyzyjnie określa wysokość maksymalnych kar dla podmiotów, które nie zapewnią odpowiedniego poziomu ochrony danych.
20.000 Euro kary za wyciek prawie 2 milionów haseł
Patrząc na wymiary kar, jakie zakłada RODO (do 20 MLN EUR) niemiecki serwis randkowy otrzymał stosunkowo niską karę. Należy zauważyć, że wyciekło około 2 miliony loginów i haseł oraz ponad 800 tysięcy adresów e-mail. Warto jednak zwrócić uwagę na argumentację przyjętą przez organ.
Dlaczego niemiecki serwis otrzymał tak niski wymiar kary?
Analizując ilość utraconych danych oraz maksymalne kary, jakie przewiduje RODO, można mieć wątpliwości, z czego wynika kwota 20.000 Euro. Należy jednak przeanalizować okoliczności, jakie wziął pod uwagę organ nakładając grzywnę. Niemiecki serwis randkowy natychmiast i w sposób przejrzysty zgłosił wyciek, a także wdrożył prace mające na celu poprawę bezpieczeństwa danych. Z informacji udzielonych przez pracowników[1] obsługa incydentu wyglądała następująco:
środa, 5 września
21:06
Nieznany sprawca opublikował 8000 danych na Pastebin.com. Wpis składa się z pseudonimów, hasła, adresu e-mail (w 57% przypadków), imienia (w 41% przypadków) i miejsca zamieszkania (w 30% przypadków).
Oficer ds. Bezpieczeństwa IT, który jest byłym członkiem Knuddels, zauważa wpis i kontaktuje się z Knuddels.com przez e-mail.
Czwartek, 6 września
10.40
Wiadomość e-mail jest odczytywana przez zespół pomocy Knuddels.de, a informacje są natychmiast przekazywane dalej w firmie.
13:45
W tym czasie sprawdzane jest autentyczność wiadomości oraz pierwsze bezpośrednie środki w celu ochrony 8.000 użytkowników. Ponadto podjęto również środki awaryjne dla wszystkich użytkowników:
- Usunięcie danych na Pastebin.com
- Tymczasowa dezaktywacja wszystkich znanych, dotkniętych problemem danych dostępowych
- Usunięcie niezaszyfrowanych haseł we wszystkich rekordach
- Opracowanie komponentu, który prowadzi wszystkich członków po zalogowaniu się na stronie w celu odświeżenia hasła
- Sprawdzenie serwera pod kątem możliwych wektorów ataku
- Powiadomienie inspektora ochrony danych firmy Knuddels.de
Piątek, 7 września
1.30 rano
Zakończenie działań z 6 września.
14.00
Serwer Knuddels.at jest aktualizowany. Wraz z aktualizacją Knuddels.de zaczną obowiązywać wszystkie zabezpieczenia. Jednocześnie wszyscy członkowie publicznego forum, a także Facebook i Instagram są informowani o działaniach i wycieku danych.
14:24
Knuddels.de otrzymuje od członka społeczności link do forum „nulled.to”, w którym oprócz znanego wycieku Pastebin.com został powiązany inny link do Pastebina z 8 000 innych rekordów. Ponadto artykuł zawiera link do „mega.nz”, pod którym opublikowano 1 872 000 pseudonimów.
W związku ze zmienioną sytuacją podejmowane są dalszych działania:
- Poinformowanie wszystkich członków tak szybko, jak to możliwe, przez e-mail
- Wszyscy członkowie muszą ustawić nowe hasło podczas logowania
- Członkowie, którzy nie logują się za pomocą znanego nam urządzenia, otrzymają link przez e-mail lub SMS, aby ustawić nowe hasło
- Pliki dzienników, które mogą zawierać dane członków, są szyfrowane
16:56
Knuddels.de informuje swoich członków na forum oraz Facebooku i Instagramie.
Przed 22:00
Kolejne środki są wdrażane na Knuddels.at
Około 22:45
Wdrażanie nowych środków bezpieczeństwa na Knuddels.de. Jednocześnie rozpoczynają się wiadomości e-mail informujące o wycieku danych, w których prosi się członków o zmianę danych na wszystkich platformach korzystających z tych samych lub podobnych informacji o koncie.
Czas od otrzymiania wiadomości do zamknięcia incydentu: 49 godzin i 45 minut.
Po Incydencie
Poinformowany urząd nadzoru w zakresie ochrony danych nakłada grzywnę, ale składa hołd w szczególności na fakt, że Knuddels.de wzorcowo przeprowadził procedurę reakcji na incydent zarówno pod względem kompleksowych informacji i przejrzystości, jak i pod względem wdrożenia środków technicznych służących poprawie bezpieczeństwa danych.
Czy kara 20.000 Euro jest adekwatna do rozmiaru wycieku danych (ok. 10 groszy za rekord)? Nie da się zaprzeczyć, że niemiecki organ nakładając karę słusznie wziął pod uwagę działania, jakie zostały podjęte przez firmę, aby zapobiec dalszej utracie danych. Niemniej jednak trudno jest dopatrzeć proporcjonalności pomiędzy karą a samym rozmiarem wycieku danych. Jednak ten wyciek pokazuje nam, że tylko sprawne i przejrzyste działania mogą znacznie obniżać ryzyko kary.
Więcej informacji można uzyskać:
https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/
[1] https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
Comissão Nacional de Proteção de Dados (CNPD) – portugalski odpowiednik naszego UODO nałożył na tamtejszy szpital Barreiro-Montijo karę w wysokości 400 000 euro. Przyczyną zastosowania tak radykalnej sankcji był nieuprawniony dostęp do danych klinicznych pacjentów.
Skąd tak wysoka kara?
W decyzji CNPD możemy przeczytać:
„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”
Zgodnie z ustaleniami dokonanymi przez organ nadzorczy, dostęp do danych pacjentów miało 985 aktywnych kont, jednakże w szpitalu zatrudnionych było 296 lekarzy. Dodatkowo, okazuje się, że szpital nie dokonał odpowiednich kroków, by zapewnić bezpieczeństwo danych medycznych. Zarzuca się w szczególności nieodpowiednie procedury podjęte przy ich przechowywaniu i niewłaściwe przydzielanie dostępów. CNPD obwinia również administrację szpitala za niepodjęcie środków koniecznych do zapewnienia, że profile lekarzy, którzy nie pracują już w Barreiro zostały wyeliminowane. Szpitalowi zarzuca się naruszenie zasad: integralności, poufności i minimalizacji danych.
Szpital odpowiada
Władze szpitala tłumaczą, że aktywność kont była spowodowana przejściowym incydentem związanym z ograniczeniami programu do przechowywania danych pacjentów dostarczanego przez firmy trzecie i dlatego część kont należy do pracowników, którzy zakończyli pracę dla szpitala i tych, którzy z nim współpracują. Podnoszona jest także wątpliwa kompetencja CNPD do nałożenia kary, w związku z niezakończonym procesem legislacyjnym związanym z RODO w Portugalii.
Żródła:
http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ
https://www.jornaldenegocios.pt/economia/saude/detalhe/hospital-do-barreiro-multado-em-400-mil-euros-por-nao-proteger-dados-clinicos-dos-doentes
