Полски глоби и предупреждения за нарушаване на GDPR

UODO наложи първата санкция за неспазване на заповед за административно решение

Административна глоба в размер над 85 000 PLN (20 000 EUR), наложена на предприемач, извършващ икономическа дейност в областта на здравеопазването, за неспазване на заповедта, наложена му с административно решение.

Службата за защита на личните данни (UODO) нареди на предприемача да съобщи за нарушенията на личните им данни на своите пациенти и да предостави на тези лица препоръки как да се сведат до минимум потенциалните неблагоприятни последици от инцидента. Администраторът не е направил това, както разкрива производството, чиято цел е да провери дали задълженията, наложени в решението на UODO, са изпълнени.

В уведомлението трябва да има информация като:

  1. описание на естеството на нарушаване на личните данни;
  2. името и данните за контакт с длъжностното лице по защита на данните или друга точка за контакт, където може да се получи повече информация;
  3. описание на вероятните последици от нарушаването на личните данни;
  4. описание на мерките, предприети или предложени от администратора, които да бъдат предприети за отстраняване на нарушението на личните данни – включително мерки за смекчаване на възможните последици от него.

Правилното изпълнение на това задължение би позволило на субектите на данни да разберат в какво се състои нарушението на защитата на личните им данни, да научат възможните последици от такъв инцидент и какви действия могат да предприемат, за да смекчат възможните му неблагоприятни последици.

Тъй като предприемачът игнорира решението на надзорния орган, UODO решава да открие служебно производство в случай на налагане на административна глоба. Трябва да се отбележи, че предприемачът, въпреки че е получил от Службата подробни инструкции относно, inter alia, правилната формулировка на съобщенията и формата, в която те трябва да бъдат изпратени на пациентите, както и начина на документиране на тези действия. Дори на етапа на производството по делото за налагане на глоба не са представени пълни доказателства, които да позволят да се признае, че задължението, произтичащо от решението, е изпълнено от предприемача.

При налагане на глобата Службата е взела предвид като утежняващи фактори голямата продължителност на нарушението, което е довело до повишен риск от неблагоприятни ефекти за лицата, засегнати от нарушението, и умишления характер на нарушението и незадоволително ниво на сътрудничество с надзорния орган с цел отстраняване на нарушението – предприемачът не е следвал препоръките на Службата по време на производството.

Неспазването от страна на предприемача на насоките, предоставени от Службата, показва очевидното пренебрегване на задълженията на предприемача за защита на данните.

Надзорният орган е отговорен за наблюдението и прилагането на спазването на законите за защита на личните данни. В случай на неспазване от страна на администраторите, президентът на UODO може да използва предоставените му корективни правомощия. Това са, наред с другото, правомощието да нареди на администратора да съобщи за нарушение на личните данни на субекта на данните и правомощието да наложи административна глоба, в допълнение или вместо мерки, посочени в член 58, параграф 2 от ОРЗД .

 

Глоба от над 12 000 PLN (3 000 EUR) е наложена на компания Smart Cities от Варшава за несъдействие с Службата за защита на личните данни (UODO).

Като надзорен орган в рамките на член 51 от GDPR, UODO наблюдава и прилага прилагането на регламента. UODO има редица правомощия в областта на производството, включително да нареди на администратора и обработващия да предоставят цялата информация, необходима за изпълнението на задачите му и да получи от администратора и обработващия достъп до всички лични данни и цялата информация, необходима за изпълнението на задачите му.

Възпрепятстването и предотвратяването на достъпа до информацията, която UODO е изискал от Дружеството, която то несъмнено притежава, демонстрира явно пренебрегване на задълженията си по отношение на сътрудничеството с надзорния орган при изпълнение на задачите

 

Председателят на Службата за защита на личните данни (UODO) наложи глоба в размер на 25 000 PLN (над 5 850 EUR) на Медицинския университет в Силезия, заради нарушение на защитата на данните, за което администраторът трябва да уведоми не само надзорния орган, но също и лицата, засегнати от инцидента.

Освен наложената глоба, надзорният орган също така е разпоредил на университета да уведоми лицата, засегнати от нарушението, настъпило във връзка с провежданите изпити под формата на видеоконференция на специалната платформа за електронно обучение.

Сигнали за нарушение на защитата на данните в Медицинския университет в Силезия UODO получава в началото на юни 2020 г. Информацията и описанието на жалбата позволиха да се заключи, че студентите са идентифицирани по време на изпитите, проведени в края на май 2020 г. при видеоконференция. Записите са станали достъпни не само за оправомощени хора, но и за други, които имат достъп до системата. Освен това, и трета страна би могла да има достъп до записите от изпитите и личните данни на студенти, представени по време на идентификацията.

Тъй като информацията показва, че е могло да възникне висок риск за правата и свободите на лицата, които са се явили на изпит, UODO иска от администратора на данни да изясни ситуацията. В отговор на писмото администраторът твърди, че не е необходимо да се уведомява Службата във връзка с нарушението, тъй като според него рискът за правата или свободите на засегнатите от инцидента лица е нисък. Освен това, след този инцидент системата е модифицирана, така, че файловете със записания ход на изпитите да не се споделят случайно. Администраторът също така посочва, че е идентифицирал лицата, които са изтеглили файла, и ги е уведомил за отговорността за използването на тези данни.

Университетът обаче все още не е уведомил за нарушение на данните и не е уведомил лицата, засегнати от този инцидент. Той не го направил, въпреки друго писмо от UODO, което посочва ситуациите, при които трябва да бъде уведомен надзорният орган за нарушение на данните и засегнатите лица също да бъдат уведомени за инцидента. Поради това е образувано административно производство. В хода му е установено, че нарушението е настъпило, тъй като един от служителите след изпит в платформата за електронно обучение не е затворил достъпа до виртуалната стая, в която се провежда тестът. В резултат на това записите от изпитите могат да бъдат изтеглени. Тъй като студентите преди изпита са били идентифицирани въз основа на техните лични карти или студентски книжки, на техните записи са записани редица лични данни. В зависимост от типа лична карта или студентска книжка, които са използвали, е имало различен обхват на данните. В някои случаи обаче това са например изображение, номер PESEL (личен идентификационен номер), номер на документ за самоличност, име и фамилия, адрес на пребиваване. Също така, поради нарушението, неоторизирани лица биха могли да видят други данни като година на обучение, група, област на обучение, или отговорите, дадени по време на изпита.

Службата установява, че е настъпило нарушение на данните и че администраторът не е изпълнил задълженията си да уведоми за този факт както надзорния орган, така и лицата, засегнати от нарушението. Такива задължения възникват, когато поради нарушението съществува висок риск за правата или свободите на засегнатите лица. Следователно администраторът неправилно е оценил свързания риск.

В решението си UODO също посочва, че няма значение, както твърди администраторът, че файлът с хода на изпита е изтеглен само от 26 лица. Тъй като няма сигурност, че той няма да бъде предоставен по-нататък на неупълномощени лица.

Според Службата отговорността за тези данни е на администратора, а не на лицата, които са изтеглили файла. Поради небрежност на администратора се е случило нарушение, което е довело до висок риск за правата и свободите на учениците.

Надзорният орган приветства внедрените промени в платформата за електронно обучение, които пречат на учениците да изтеглят файлове с изпити. Те ще позволят да се избягват подобни ситуации в бъдеще.

Взети са предвид и продължителността на нарушението, умишленото действие на администратора, който реши да не уведомява за нарушението и да не информира засегнатите за това, незадоволителното сътрудничество на администратора с надзора.

Наложената глоба ще изпълнява и превантивна функция, тъй като показва, че не може да се пренебрегват задълженията, които възникват във връзка с нарушението на защитата на личните данни. Особено, че неподходящият подход към задълженията, наложени от GDPR, може да доведе до неблагоприятни последици за лицата, засегнати от нарушенията.

 

Невъзможността за бързо идентифициране на заплахата и премахването й доведе компанията ID Finance Poland до загуба на данни. Поради това председателят на Службата за защита на личните данни (UODO) установи, че дружеството не е приложило подходящи технически и организационни мерки, което е довело до нарушаване на принципа на поверителност на личните данни, и наложи административна глоба на компанията в размер от над 1 милион злоти (250 000 евро).

Наказаната компания (собственик на платформа за кредитиране MoneyMan.pl) не реагира адекватно на сигнала за пропуски в сигурността си. Не провери достатъчно бързо информацията, че данните на клиента са налични на един от сървърите му. Такова уведомление не е прието сериозно, така че няколко дни след като компанията получава сигнала, неупълномощено лице копира данните и след това ги изтрива от сървъра. Лицето иска откуп за връщане на открадната информация. Едва тогава компанията започва да анализира защитните функции на своите сървъри и уведомява надзорния орган за нарушаване на данните.

По време на производството UODO установява, че нарушението е станало след неуспешно възстановяване на конфигурацията на защитата след рестартиране на един от сървърите.

Администраторът е бил уведомен за това от един от неговите специалисти по киберсигурност, който е открил уязвимостта и е посочил публично достъпна информация.

Вместо да провери информацията и да наблюдава обработващия, дали надлежно е проверил сигурността, администраторът се съмнява дали това е опит за изнудване. В резултат на това не проверяват веднага идентифицираните уязвимости на системата и няколко дни по-късно данните са откраднати от този сървър.

Това нарушение не би възникнало, ако администраторът незабавно реагира адекватно на информацията, че данните на неговия сървър не са защитени. Според становището на Службата за защита на личните данни администраторът трябва да поддържа способността бързо и ефективно да идентифицира всякакви нарушения, за да може да предприеме подходящи действия. Освен това администраторът трябва да може бързо да разследва инцидента по отношение на това дали е имало нарушение на данните и да предприеме подходящи коригиращи действия.

Администраторът трябва да може да открива, адресира и уведомява за нарушение на данните – това е критичен елемент от техническите и организационни мерки.

А администраторът е анализирал получения сигнал, не го е приел сериозно и не е задължил обработващия да разреши случая.

При налагане на глоба за загуба на поверителност на личните данни поради поредица от небрежност от страна на администратора, UODO взе предвид мащаба на нарушението и обхвата на откраднатите данни.

Освен това, тъй като некриптирани пароли също са изтекли, е възможно тези данни да се използват за влизане в различни клиентски акаунти, ако са използвали един и същи вход (например имейл) и парола на други уебсайтове.

При определяне на размера на глобата органът взе предвид и забавянето на администратора при предприемането на превантивни мерки.

Тя трябва да предотврати подобни нарушения в бъдеще както в наказаното дружество, така и при други администратори “.

 

Towarzystwo Ubezpieczeń i Reasekuracji WARTA SA (застрахователно и презастрахователно дружество WARTA SA) е нарушило разпоредбите на Общия регламент за защита на данните, тъй като не е уведомило председателя на Службата за защита на личните данни за нарушение на личните данни. Поради това надзорният орган наложи на дружеството глоба в размер на 85 588 PLN (20 000 EUR).

През май 2020 г. Службата за защита на личните данни (UODO) получи информация от трета страна за нарушението на личните данни, което се състои в изпращане по електронна поща на застрахователна полица от застрахователен агент, който е обработващ на застрахователната и презастрахователна компания WARTA SA, на неоторизиран адресат.

Приложеният документ съдържа лични данни като имена, адреси, номер PESEL (лични идентификационни номера) и информация относно предмета на застраховката (лек автомобил).

Важен в случая е фактът, че надзорният орган е бил информиран за нарушението на личните данни от неоторизиран адресат, който е взел документи, които не са предназначени за него, и е нарушена поверителността на засегнатите лица.

Следователно надзорният орган поиска от Дружеството да изясни дали във връзка с изпращане на електронна кореспонденция до неоторизиран получател е извършен анализ по отношение на риска за правата и свободите на физическите лица, необходим за преценка дали има данни нарушение на защитата, довело до необходимостта от уведомяване на UODO и лицата, засегнати от нарушението.

В писмо надзорният орган посочва на компанията как може да уведоми за нарушението и призова за обяснения.

Компанията потвърждава, че е имало инцидент, свързан с нарушаване на личните данни и че е била извършена оценка по отношение на риска за правата и свободите на физическите лица.

Въз основа на тази оценка глобената компания установява, че нарушението не изисква уведомяване на UODO. Компанията счита, че нарушението е причинено от изпращане на документа за застрахователната полица на грешен имейл адрес, посочен от самия клиент.

Въпреки писмото от UODO с искане за разяснение, компанията не е уведомила за нарушение на личните данни и не е съобщила за инцидента на засегнатите от нарушението лица. Затова надзорният орган образува административно производство.

Едва в резултат на започване на производството компанията уведомява за нарушение на личните данни и информира две лица, засегнати от нарушението.

Подобни действия на дружеството водят до продължаващо нарушение, което трябва да се разглежда като утежняващо вината обстоятелство. Още повече, че са изминали пет месеца от информирането за нарушение на личните данни до уведомяването на надзорния орган за нарушението на личните данни.

В хода на производството UODO отчита факта, че нарушението е възникнало в резултат на грешка на клиент, предоставил грешен имейл адрес.

Когато разрешава възможността за използване на електронна поща за комуникация с клиента, администраторът трябва да е наясно с рисковете, свързани например с неправилен имейл адрес, предоставен от клиента. Следователно, за да сведе до минимум тези рискове, администраторът трябва да предприеме подходящи организационни и технически мерки, като например проверка на предоставения адрес или криптиране на изпратените по този начин документи.

Също така фактът, че се иска от грешния получател да изтрие окончателно получената кореспонденция, не може да определи, че рискът за правата и свободите на субектите на данни не е голям.

Администраторът не е сигурен дали неупълномощеният адресат не е направил например копие на документите или не ги е записал.

При налагане на административна глоба, председателят на UODO взе предвид и смекчаващи вината обстоятелства, като например факта, че нарушението се отнася до личните данни на две лица и че компанията е поискала от грешния получател да изтрие окончателно получената кореспонденция. Струва си обаче да се спомене, че искането за изтриване на данни не е равносилно на гарантиране, че данните действително са изтрити от неупълномощено лице и не изключва възможни негативни последици от тяхното използване.

 

Председателят на Службата за защита на личните данни (UODO) наложи глоба от 1,9 милиона PLN (460 000 EUR) на Virgin Mobile Polska за липсата на внедрени подходящи технически и организационни мерки за осигуряване на сигурността на обработваните данни.

UODO заяви, че компанията е нарушила принципите за поверителност на данните и отчетност, посочени в GDPR. Virgin Mobile не извършва редовни и изчерпателни тестове, измервания и оценки на ефективността на прилаганите технически и организационни мерки за осигуряване на сигурността на обработваните данни. Дейности в това отношение се предприемат само когато има подозрения за уязвимост или във връзка с организационни промени. Освен това не са проведени тестове за проверка на предпазните мерки, свързани с прехвърлянето на данни между приложения, свързани с обслужването на купувачи на предплатени услуги. В допълнение, уязвимостта, свързана с обмена на данни в тези системи, се използва от неоторизирано лице за получаване на данни от някои от клиентите на компанията.

Във връзка с нарушение на данните, в резултат на което неупълномощено лице получи данни за клиенти от една от базите данни, надзорният орган извърши проверката в компанията. В резултат на констатираните нередности органът образува административно производство, финализирано с налагане на глоба.

В хода на производството UODO не се съгласява с администратора, който твърди, че е тествал и наблюдавал предприетите технически и организационни мерки за гарантиране на сигурността на личните данни. Надзорният орган счита, че тези дейности не са нито редовни, нито изчерпателни, тъй като се извършват случайно и не обхващат всички системи, в които данните са били обработвани.

В хода на процедурата се оказа, че обменът на данни между приложения в ИТ системата трябва да се осъществи след проверка на определени параметри от заявленията за регистрация на клиенти на предплатени услуги. Целта е програмата да провери дали искането за прехвърляне на данните е получено от упълномощения субект. На практика тази проверка не е работила и преди нейното прилагане механизмът не е бил тестван. Обаче уязвимостта в този процес е била използвана от неупълномощено лице за получаване на данните. Едва след този инцидент са предприети подходящи дейности по отношение на ремонта на тази функционалност в ИТ системата на компанията.

Надзорният орган счита, че внедряването на система за обработка на данни за използване без подходящо валидиране на приетите параметри е грубо нарушение от страна на администратора.

При налагане на глоба UODO взема предвид, че нарушението, извършено от оператора, е сериозно, тъй като представлява голям риск от неблагоприятни последици за голям брой лица (например риск от кражба на самоличност). Трябва да се помни, че неоторизирани лица са имали краткосрочен достъп до системите, но достатъчни за събиране на големи количества данни. Освен това уязвимостта на изтичането на данни съществува дълго време.

Службата взема предвид и смекчаващи вината обстоятелства, като доброто сътрудничество на администратора, бързото отстраняване на нарушението след откриването му, но и прилагането на допълнителни решения за допълнително подобряване на сигурността на обработваните данни.

Предвид мащаба и тежестта на нарушенията, UODO счита, че би било непропорционално да се прилагат средства за защита, различни от административна глоба.

Глобата има за цел да попречи на компанията да извърши подобна небрежност в бъдеще.

 

Председателят на Службата за защита на личните данни, след като проведе служебно производство, свързано с нарушаване на защитата на личните данни на лица, подлежащи на медицинска карантина, като предостави на неоторизирани получатели списък, съдържащ адресите на лица в медицинска карантина, наложи наказание от порицание на дружество и нарежда на компанията да съобщи за нарушението на субектите на данни.

Службата проверява дали администратор при определяне на процедурите, свързани с обработката на лични данни относно адресите на лица под карантина поради заплаха от коронавирус, е извършил анализ на метода за разпространение на гореспоменатите данни в електронна и хартиена версия по отношение на рисковете, свързани със загубата на тяхната поверителност.

В представените обяснения Дружеството заяви, наред с другото, че е извършило анализа, като е взел предвид обстоятелствата, свързани с неспазването на действащите в Компанията процедури от обработващите.

Според администратора получените списъци включват само административни адреси и не включват имена, фамилии и други идентифициращи данни.

След като разгледа всички материали, събрани по това дело, Службата заявява, че информацията относно: името на населеното място, името на улицата, номера на сградата / апартамента, за лице под медицинска карантина, представлява лични данни по смисъла на GDPR и фактът, че хората са в карантина, представлява специална категория лични данни относно здравето.

Въз основа на горните лични данни е възможно да се идентифицират субектите на данни и следователно администраторът е обект на задълженията, произтичащи от GDPR. UODO също така взема предвид, че поверителността на обработваните данни е била нарушена от служител, оставил на бюрото без надзор отпечатания списък.

Според UODO предпазните мерки, посочени в анализа на риска, са формулирани общо и не се отнасят до конкретни събития, свързани с дейностите, предприети от упълномощени служители. Разпоредбите в анализа на риска, които до голяма степен се отнасят само до подписването на съответните отчети и документи от служителите, са недостатъчни и неадекватни на рисковете, свързани с обработката на специалните категории данни, а именно адресите на лицата, поставени под карантина.

Освен това при анализа на риска администраторът трябва да вземе предвид както специалния характер на обработваните данни, така и човешкия фактор, т.е. непредпазливост, небрежност или липса на надлежна проверка, което е един от източниците на риск при обработката на лични данни .

Надзорният орган също така отбелязва, че еднократният и бегъл анализ също означава, че администраторът не е предприел действия, насочени, inter alia, към редовно тестване, измерване и оценка на ефективността на техническите и организационни мерки за осигуряване на сигурността на обработката.

Член 33, параграф 1 от GDPR предвижда, че в случай на нарушение на личните данни администраторът не по-късно от 72 часа след като е узнал за това, уведомява надзорния орган, освен ако е малко вероятно нарушението на личните данни да доведе до риск за правата и свободите на физическите лица.

Компанията беше задължена да докладва за нарушението на UODO, но не го прави.

Освен това, в ситуация на висок риск за правата или свободите на физическите лица в резултат на нарушение на личните данни, администраторът е длъжен да съобщи за нарушението на субекта на данните без ненужно забавяне.  Администраторът информира лицата поотделно за нарушения на техните данни, освен ако това не включва непропорционални усилия.  В такъв случай администраторът издава публично съобщение или прилага подобна мярка, за да информира субектите на данни еднакво ефективно.

Разкриването на неоторизирани получатели на лични данни относно адреси на пребиваване и здравни данни несъмнено е довело до висок риск за правата или свободите на лица под карантина. Независимо от това, Компанията не съобщава на субектите на данни за нарушението на личните данни.

Във връзка с такива констатации, председателят на UODO, като констатира нарушение на разпоредбите на Общия регламент за защита на данните, издава порицание на дружеството и му нарежда да съобщи за нарушенията на личните данни на субектите на данни.

Фактът за предприемане от Компанията на дисциплинарни мерки срещу служители, допринесли за нарушението и фактът, че въпреки трудната епидемиологична ситуация администраторът се е ангажирал да осигури обучения за защита на личните данни за своите служители, се считат за смекчаващи обстоятелства за окончателното решение, но не засяга съдържанието му.

Можете да споделите: