Wchodzące w życie przepisy o RODO wprowadziły w świecie biznesu sporo zamieszania. Ponadto sprawiły, że korzystanie z internetu stało się niezwykle uciążliwe przez masowo wyświetlające się klauzule informacyjne z art. 13 RODO. Przepisy te mogły wydawać się martwe, bo dotychczas nie było głośno o karach nałożonych za ich naruszenie; o tym że jest odwrotnie, boleśnie przekonała się firma produkująca drzwi antywłamaniowe, na którą Prezes Urzędu Ochrony Danych Osobowych nałożył karę liczoną w setkach tysięcy złotych za naruszenie zasad przetwarzania danych. Karę nałożono również na podmiot, któremu ta firma powierzyła dane do przetwarzania, jednak o wiele niższą bo w wysokości niespełna dziesięciu tysięcy złotych i to pomimo faktu, że to z winy jej pracownika doszło do naruszenia danych.
Naruszenie danych osobowych
Przedsiębiorca prowadzący działalność gospodarczą w zakresie produkcji drzwi antywłamaniowych zgłosił Prezesowi Urzędu Ochrony Danych Osobowych (PUODO), że w wyniku błędu pracownika podmiotu, któremu powierzyła dane do przetwarzania doszło do ataku hackerskiego na jej bazę danych, spółka straciła dostęp do danych osobowych swoich klientów i pracowników. Dane, do których utracono dostęp obejmowały m.in. imiona i nazwiska, adresy do doręczeń, PESEL, numer telefonu.
Przedsiębiorca twierdził, że do wycieku danych doszło nieumyślnie przez błąd jednego z pracowników procesora (podmiotu, któremu powierzono dane do przetwarzania), który na chwilę wyłączył ochronę antywirusową. Przez wyłączenie ochrony antywirusowej doszło do ataku, wskutek którego utracono dostęp do danych. Zdaniem przedsiębiorcy atak ten był jednak krótkotrwały i po nim firma odzyskała dostęp do danych. Zdaniem zgłaszającej firmy celem ataku nie było wykorzystanie danych tylko szantaż przedsiębiorcy, wobec czego firma uznała, że nie było wysokiego ryzyka naruszenia praw i wolności. Firma jednak poinformowała o incydencie swoich klientów.
Stanowisko PUODO
Zdaniem PUODO spółka nie poinformowała jednak swoich klientów o wycieku danych w sposób prawidłowy. Ponadto firma nie dokonała właściwej analizy ryzyka, a w konsekwencji również nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które pozwoliłby należycie zabezpieczyć dane. PUODO wskazał również, że firma w sposób niedostateczny zweryfikowała podmiot, któremu dała dane do przetwarzania, co w konsekwencji doprowadziło do naruszenia danych. PUODO wskazał przede wszystkim, iż w dokonanej ocenie ryzyka firma nie uwzględniła ataków hackerskich, a powinna to zrobić tym bardziej, że wszelkie dane przetwarzała w sposób zautomatyzowany przy użyciu programów informatycznych.
Wskutek przeprowadzonego postępowania, zainicjowanego zgłoszeniem naruszenia danych PUODO ukarał firmę, która była administratorem danych karą pieniężną w wysokości 350 000. złotych, a procesora kwotą 9 800 zł.
PUODO zgodził się z przedsiębiorcą, iż zawinił tutaj czynnik ludzki, ale przedsiębiorca nie zrobił wystarczająco dużo by uniknąć naruszenia, gdyż pracownicy procesora odpowiedzialni za procesy na danych nie byli odpowiednio przeszkoleni.
