Cyfrowy Polsat nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia bezpieczeństwa danych osobowych identyfikowane z dużym opóźnieniem. Z powodu tych zaniedbań Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę karę pieniężną w wysokości ponad 1,1 mln zł.
Zgubiona korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy – to naruszenia, które spółka często zgłaszała do UODO. Jednak przeprowadzona przez urząd analiza tych naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia.
PARTNEREM KANAŁU JEST UPC POLSKA
Administrator zgłaszał co prawda naruszenia, gdy tylko otrzymał informację od firmy kurierskiej, z którą miał podpisaną umowę. Z tym, że – zdaniem UODO – to administrator powinien podjąć skuteczne działania, które, po pierwsze, zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie incydentów i powiadamianie poszkodowanych.
Powodowało to, że poszkodowani długi czas nie wiedzieli o ryzyku wykorzystania ich danych przez osoby nieuprawnione Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.
Pomimo, że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych. Ponadto było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie.
Dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi.
Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia przepisów RODO, gdyż zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości. Nie gwarantowałoby również tego, że administrator ten w przyszłości nie dopuści się podobnych zaniedbań.
Prezes UODO podkreśla, że w jego ocenie Cyfrowy Polsat w sposób niewystarczający dokonywał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
