B
fDI nakłada kary na dostawców usług telekomunikacyjnych. Federalny komisarz ds. Ochrony danych i wolności informacji (BfDI) – tj. odpowiednik polskiego UODO – ukarał grzywną dostawcę usług telekomunikacyjnych 1 & 1 Telecom GmbH, w wysokości 9 550 000 euro. Kara RODO za brak inspektora?
Firma nie podjęła wystarczających środków technicznych i organizacyjnych. Taki stan rzeczy, doprowadził do tego, że osoby nieupoważnione mogły uzyskiwać informacji, znajdujących się w panelu obsługi Klienta. Podczas innej kontroli BfDI, również w stosunku do firmy telekomunikacyjnej o nazwie Rapidata GmbH, wymierzono grzywnę w wysokości 10 000 EUR za brak inspektora ochrony danych.
Komisarz federalny Ulrich Kelber, skomentował fakt nałożenia kary RODO w następujący sposób: „Ochrona danych to ochrona praw podstawowych. Nałożone grzywny są wyraźnym znakiem, że będziemy egzekwować tę ochronę praw obywatelskich. Europejskie ogólne rozporządzenie o ochronie danych ( DSGVO ) daje nam możliwość zdecydowanego ukarania nieodpowiedniego bezpieczeństwa i przetwarzania danych osobowych”.
Jak były wykorzystywane dane osobowe?
W przypadku sprawy 1 & 1 Telecom GmbH, należy zdać sobie sprawę, że każdy dzwoniący mógł dostać obszerne informacje na temat klientów oraz innych danych osobowych, przetwarzanych przez obsługę klienta – jedynie wskazując imię i datę urodzenia. W tej procedurze uwierzytelnienia, BfDI dostrzega naruszenie art. 32 RODO , zgodnie z którym firma jest zobowiązana do podjęcia odpowiednich środków technicznych i organizacyjnych w celu systematycznej ochrony przetwarzania danych osobowych. Do tego dochodzi drugi temat – dotyczący Rapidata GmbH, który stanie się wkrótce popularnym nagłówkiem: „Kara RODO za brak inspektora”.
Po tym, jak BfDI skrytykowało nieodpowiednią ochronę danych, spółka 1 & 1 Telecom GmbH, była gotowa do współpracy. W pierwszym etapie proces uwierzytelnienia został najpierw zabezpieczony poprzez żądanie dodatkowych informacji. W dalszym etapie 1 & 1 Telecom GmbH wprowadziło nową procedurę uwierzytelniania, która została znacznie ulepszona pod względem technologii i ochrony danych, w porozumieniu z BfDI.
Pomimo podjętych środków nałożenie grzywny było konieczne. Między innymi, naruszenie zostało ograniczone tylko do niewielkiej liczby klientów, ale zagrożenie występowało dla całej bazy klientów. Przy ustalaniu wysokości grzywny BfDI wzięto pod uwagę całe zachowanie przez 1 & 1 Telecom GmbH i zastosowano niższy zakres możliwej kary.
Kara RODO za brak inspektora?
Konieczna była dalsza procedura przeciwko oferentowi usług telekomunikacyjnych Rapidata GmbH, ponieważ przedsiębiorstwo nie spełniło wymogu prawnego dotyczącego wyznaczenia inspektora ochrony danych na mocy art. 37 DSGVO. Kwotę grzywny w wysokości 10 000 EUR uznano za rozsądną.
Podsumowując, art. 32 RODO dotyczy stosowania odpowiednich środków, takich jak: program do RODO, a najciekawszą informacją jest fakt, iż prawdopodobnie pierwszy raz nałożono karę za brak wyznaczenia inspektora ochrony danych. Na dostawcę usług telekomunikacyjnych 1 & 1 Telecom GmbH nałożono grzywnę w wysokości 9 550 000 euro (ok. 40 110 000 zł) – głównym powodem art. 32 RODO. Kolejnym przykładem kary RODO jest: FAN COURIER EXPRESS SRL.
Morał RODO dla polskich administratorów
Zastanówmy się jak sytuacja wygląda w naszym kraju. Podając pesel i nr legitymacji, możemy zalogować się na profil dowolnego lekarza, w izbie lekarskiej (numery pesel często dostępne w KRS, a nr legitymacji dostępny publicznie). Idźmy dalej… Podając numer ewidencyjny/członkowski, uzyskamy informacje o saldzie zadłużenia w opłatach do spółdzielni mieszkaniowej. Telefonując do znanego wszystkim dostawcy energii, przekazujemy imię i nazwisko właściciela lokalu z adresem, a otrzymujemy pełne informacje z biura obsługi Klienta. Podobnie sprawa wygląda u setek innych podmiotów z całego świata. Odwieczny spór pomiędzy wygodą, a bezpieczeństwem trwa…
*gwoli wyjaśnienia, artykuł mówi o dwóch karach RODO. Pierwsza dla 1 & 1 Telecom GmbH, druga zaś za brak inspektora ochrony danych dla Rapidata GmbH.