Prezes Urzędu Ochrony Danych Osobowych nałożył kolejne administracyjne kary pieniężne, będące następstwem braku zachowania należytej staranności, zarówno przez Administratorów danych, jak również osoby dopuszczone do przetwarzania danych osobowych.

Karę pieniężną w wysokości 85.588,00 zł, Prezes UODO nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.  Kara została nałożona w wyniku informacji uzyskanych od osoby postronnej. Organ nadzorczy został poinformowany o otrzymaniu drogą elektroniczną dokumentów zawierających  dane osobowe dwóch osób, w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób. Pełna treść decyzji dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/DKN.5131.5.2020

Karę ponad 1.000.000,00 zł Urząd Ochrony Danych Osobowych nałożył na właściciela portalu pożyczkowego MoneyMan.pl ponieważ nie zareagował on odpowiednio na sygnał o lukach w zabezpieczeniach serwera. Spółka nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera, zaś za zwrot wykradzionych informacji zażądała znacznej kwoty pieniężnej. Pełna treść decyzji dostępna jest pod linkiem:  https://uodo.gov.pl/decyzje/DKN.5130.1354.2020

Co jest przyczyną tych problemów?

Wydaje się, że niestety brak świadomości wśród osób przetwarzających dane osobowe – zarówno pracowników jak i kadry zarządzającej – o zagrożeniach, które płyną z braku zachowania należytej staranności przy przetwarzaniu danych osobowych. Słyszymy o kolejnych karach nakładanych przez Prezesa UODO, ale nie dopuszczamy myśli, że podobne naruszenia mogą wystąpić w naszej organizacji. Nie bierzemy pod uwagę sytuacji, w której osoby postronne mogą złożyć skargę na nasze działania, jak również sytuacji, w której możemy paść ofiarą kradzieży danych i żądania zapłaty znacznej kwoty pieniężnej za ich zwrot. Niestety, coraz częściej dochodzi do prób wyłudzenia danych w celach zarobkowych.

Jak im zapobiec?

Przede wszystkim należy pamiętać, że samo wdrożenie RODO nie wystarczy. Ochrona danych osobowych to PROCES, który należy stale monitorować i doskonalić w jego najsłabszych punktach. Jednorazowe przeszkolenie osób dopuszczonych do przetwarzania danych osobowych nie jest wystarczające. Każdy Administrator danych powinien zadbać o stałe podnoszenie wśród swoich współpracowników świadomości z zagrożeń wynikających z nieprawidłowego przetwarzania danych osobowych.

Najskuteczniejszym sposobem na uniknięcie naruszeń, wydaje się systematyczne podnoszenie świadomości wśród osób dopuszczonych do przetwarzania danych osobowych np. poprzez szkolenia przypominające, systematyczne wysyłanie komunikatów drogą elektroniczną, jak również ciągłe dostosowywanie wprowadzonych dokumentów z zakresu ochrony danych osobowych do pojawiających się zagrożeń. W sytuacji kontroli, to na Administratorze danych ciąży obowiązek udowodnienia wszelkich działań jakie podejmuje w kierunku ochrony danych osobowych w swojej organizacji.

Jeżeli są Państwo zainteresowani kompleksowym wdrożeniem RODO w swoim przedsiębiorstwie, w tym przeszkoleniem kadry pracowniczej w zakresie należytego przetwarzania danych osobowych i zachowania standardów ich ochrony, czy też skorzystaniem z usługi outsourcingu IOD, zapraszamy do skorzystania z naszych usług.