Kara nałożona przez Prezesa UODO na Cyfrowy Polsat za niewdrożenie odpowiednich środków technicznych i organizacyjnych

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na Cyfrowy Polsat za naruszenie przepisów RODO dotyczących ochrony danych osobowych. Spółka nie wdrożyła odpowiednich środków zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską, co skutkowało utratą danych i niewłaściwym przekazywaniem informacji.

Tematyka: Prezes UODO, Cyfrowy Polsat, RODO, ochrona danych osobowych, kara pieniężna, naruszenie, środki techniczne, środki organizacyjne, bezpieczeństwo danych, zgłoszenia naruszeń, współpraca, firma kurierska

Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) stwierdził naruszenie przez Cyfrowy
Polsat Spółka Akcyjna z siedzibą w Warszawie (dalej: Spółka) art. 24 ust. 1 oraz art. 32 ust. 1 i 2
rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016
r. Nr 119, s. 1 ze zm., dalej: RODO) polegające na niewdrożeniu odpowiednich środków technicznych
i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy
z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych
osobowych. Prezes UODO nałożył na Spółkę administracyjną karę pieniężną w wysokości 1 136 975 zł.
Ustalenia faktyczne
Spółka regularnie dokonywała zgłoszeń naruszeń ochrony danych osobowych klientów Spółki, które polegały m.in.
na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów
niewłaściwej osobie dokumentów zawierających dane osobowe.
Prezes UODO dokonując analiz zgłoszeń naruszeń ochrony danych osobowych, w których Spółka wskazała, że
wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zwrócił uwagę na wzrost liczby zgłoszeń
naruszeń tego typu w czerwcu 2020 r., w porównaniu z okresem od stycznia do maja 2020 r. Zwrócono także uwagę
na znaczny upływ czasu od daty zaistnienia zdarzenia powodującego naruszenie ochrony danych osobowych do
daty jego stwierdzenia przez Spółkę i w konsekwencji zawiadomienia osób, których dane dotyczą oraz Prezesa
UODO o naruszeniu. Dokonywane przez Spółkę zgłoszenia w poddanym analizie okresie dotyczyły m.in. zdarzeń
powodujących naruszenia ochrony danych osobowych z lutego oraz stycznia 2020 r., a nawet zdarzeń z 2019 r.
Prezes UODO, na podstawie art. 58 ust. 1 lit. a RODO i art. 58 ust. 1 lit. e RODO, zwrócił się do Spółki o przekazanie
informacji i wskazanie:
1. działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia podjętych przez Spółkę
w II kwartale 2020 r. w sprawach naruszeń mających związek z dostarczaniem przesyłek przez firmy kurierskie;
2. czy, a jak tak, to jakie techniczne i organizacyjne środki ochrony zostały wdrożone przez Spółkę, by od razu
stwierdzić naruszenie ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której
dane dotyczą;
3. czy Spółka dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa
oraz wolności osób, których dane dotyczą, jak tak, to jakie były wyniki ww. analizy.

Jednocześnie przedstawione zostały Spółce ogólne wyniki analizy zgłoszeń naruszeń ochrony danych osobowych
dokonanych przez nią w czerwcu 2020 r.
Spółka w ramach składanych wyjaśnień nie wskazała, do którego z 3 pytań z pisma Prezesa UODO się odnosi, ani
co w jej rozumieniu oznacza przekazanie danych osobowych osobie trzeciej – bliskiej, wskutek działania na życzenie
lub na żądanie klienta. W zakresie określonym w pkt 1 pisma Prezesa UODO z lipca 2020 r. Spółka nie przedstawiła
dostatecznych dowodów na podejmowane przez nią działania mające na celu zminimalizowanie ryzyka ponownego
wystąpienia naruszenia. W zakresie określonym w pkt 2 pisma Prezesa UODO, w którym zwrócono się o wskazanie
technicznych i organizacyjnych środków ochrony wdrożonych przez Spółkę, by od razu stwierdzić naruszenie
ochrony danych osobowych i bez zbędnej zwłoki zawiadomić organ nadzorczy i osobę, której dane dotyczą, Spółka
nie wskazując, czy wdrożone zostały środki techniczne bądź proceduralne poinformowała, że „wyjaśnia na bieżąco
z przewoźnikiem przypadki naruszeń celem wyeliminowania problemu opóźnień w przekazywaniu informacji o utracie
danych.
Spółka udzieliła wyjaśnień, z których wynika m.in., że została zapewniona przez przewoźnika o bieżącym
monitorowaniu skali naruszeń, jak i podejmowaniu działań mających na celu wyeliminowanie lub co najmniej
zminimalizowanie tego typu przypadków naruszeń. Spółka wskazała, że w drugim kwartale tego roku dla Spółki
istotne było przede wszystkim zapewnienie bezpieczeństwa i zdrowia klientów i kurierów w trakcie trwającej
pandemii.
Spółka wskazała również, że wyjaśnia na bieżąco z przewoźnikiem przypadki naruszeń, celem wyeliminowania
problemu opóźnień w przekazywaniu informacji o utracie danych. Spółka wyjaśniła dodatkowo, że istotny wpływ na

terminowość zgłoszeń naruszeń ochrony danych osobowych dotyczących przedmiotowego postępowania w zakresie
weryfikacji poprawności obsługi procesu dokumentów zwrotnych miał okres trwającej pandemii.
Zgromadzony materiał nie mógł potwierdzić wyjaśnień Spółki, że „istotny wpływ na terminowość zgłoszeń naruszeń
danych osobowych dotyczących niniejszego postępowania Urzędu, dotyczących weryfikacji poprawności obsługi
procesu dokumentów zwrotnych, miał okres trwającej pandemii”, ponieważ 60 % ogólnej liczby naruszeń ochrony
danych osobowych zgłoszonych w czerwcu 2020 r. zostało zidentyfikowanych przez Spółkę powyżej 60 dni od daty
zdarzenia powodującego naruszenie, zaś ponad 33 % ogólnej liczby zgłoszeń stanowiły zdarzenia zidentyfikowane
przez Spółkę powyżej 90 dni od daty zdarzenia, tj. zdarzenia sprzed ogłoszenia stanu pandemii. Ponad 17 % ogólnej
liczby naruszeń ochrony danych osobowych zgłoszonych w czerwcu 2020 r. dotyczyło zdarzeń ze stycznia 2020 r.
oraz z 2019 r., co oznacza, że zostały zidentyfikowane przez Spółkę powyżej 120 dni od daty zdarzenia
powodującego naruszenie ochrony danych osobowych. Ponadto, Spółka nie odniosła się do wniosku Prezesa UODO
o wskazanie, czy dokonała analizy wpływu terminowości identyfikacji naruszeń ochrony danych osobowych na prawa
oraz wolności osób, których dane dotyczą, a jeśli tak, to jakie były wyniki ww. analizy.
Zgromadzony materiał dowodowy wskazał na możliwość naruszenia przez Spółkę, jako administratora danych,
przepisów RODO w zakresie:
1. niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie
z RODO i aby móc to wykazać oraz niepoddawanie przeglądom i uaktualnieniom tych środków, co stanowi
naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
2. niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych, co stanowi naruszenie art. 34 ust. 1 RODO.
3. nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź
nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia, co stanowi
naruszenie art. 31 RODO.
Uzasadnienie z decyzji Prezesa UODO
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2
lit. a–k RODO – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na
wymiar nałożonej kary finansowej.

Przede wszystkim wyżej przedstawione wyniki analizy zgłoszeń naruszeń ochrony danych osobowych
dokonywanych przez Spółkę wskazują jednoznacznie na nadmierne opóźnienia w identyfikacji naruszeń
i w konsekwencji opóźnienia w zawiadomieniu o naruszeniach osób dotkniętych tymi naruszeniami. Takie
opóźnienia, wynikające z niewdrożenia przez Spółkę odpowiednich środków technicznych i organizacyjnych
zapewniających szybką identyfikację naruszeń ochrony danych osobowych, uznać należy za poważne i wymagające
negatywnej oceny w kontekście ryzyka ponoszonego prze osoby, których dane osobowe naruszono.

Zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek
zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny
PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu
oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu,
numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat). Tak szeroki zakres danych osobowych
ujawnianych osobom nieupoważnionym i pozostających w posiadaniu tych osób przez dłuższy czas - w konsekwencji
naruszenia stwierdzonego niniejszą decyzją – bez wiedzy i bez możliwości jakiejkolwiek reakcji podmiotu tych
danych, musi wpływać obciążająco na ocenę stwierdzonego naruszenia i na wysokość orzeczonej administracyjnej
kary pieniężnej. Podkreślić należy, że naruszenie, którego dopuściła się Spółka, wiąże się z dużym ryzykiem
naruszenia praw lub wolności osób dotkniętych naruszeniem.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił (jako okoliczność łagodzącą) stopień
współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych
negatywnych skutków. Na fakt zastosowania w niniejszej sprawie przez Prezesa UODO sankcji w postaci
administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2
RODO okoliczności.

Komentarz
Przede wszystkim wskazać jednak należy, że wdrożenie wewnętrznych polityk oraz procedur ochrony danych
osobowych związanych ze zgłaszaniem naruszeń, a także zawarcie umowy powierzenia przetwarzania danych

osobowych z podmiotem przetwarzającym, nie jest w ocenie organu nadzorczego wystarczające. Prezes UODO
ocenia bowiem zastosowanie odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot
przetwarzający swoich zobowiązań.
Dodatkowo brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora danych
odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, ponieważ zdolność do wykrywania
naruszeń stanowi kluczowy element środków technicznych i organizacyjnych.
Zgłaszając naruszenia należy liczyć się z tym, że w celu kontroli przestrzegania prawa przez administratorów danych,
w szczególności dla sprawdzenia, czy wypełniają oni obowiązki w procesie przetwarzania danych osobowych,
Prezes UODO posiada uprawnienia do przeprowadzenia kontroli również w stosunku do tych podmiotów, z którymi
prowadził korespondencję w sprawie naruszeń ochrony danych.
Nałożona administracyjna kara pieniężna spełni, zdaniem Prezesa UODO, funkcję represyjną, ale i prewencyjną,
czyli zapobiegnie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Spółkę, jak
i innych administratorów danych.

Decyzja Prezesa UODO 22.4.2021 r., DKN.5130.3114.2020,

Decyzja Prezesa UODO ma charakter represyjny i prewencyjny, mając na celu zapobieganie przyszłym naruszeniom przepisów o ochronie danych osobowych. Spółka została ukarana administracyjnie za opóźnienia w identyfikacji naruszeń oraz niezawiadamianie osób dotkniętych naruszeniami w odpowiednim czasie.