Decyzja Prezesa UODO z dnia 10 września 2019 r. stwierdzająca naruszenie przepisów dotyczących bezpieczeństwa i poufności przetwarzanych danych osobowych i nakładająca karę. (Morele.net)
Decyzja PUODO (Morele.net)
ZSPR.421.2.2019
13/10/2019
Prezes UODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł. Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego przetwarzaniem, w wyniku czego doszło do o nieuprawnionego dostępu do danych około 2 mln 200 tys. klientów.
PREZES URZĘDU OCHRONY
DANYCH OSOBOWYCH
Warszawa, dnia 10 września 2019 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101,
art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r. poz. 1000 z późn. zm.) w związku z art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2, art. 58 ust. 2 lit. i oraz z art. 83 ust. 3, art. 83 ust. 4 lit a, art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz , Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, Prezes Urzędu Ochrony Danych Osobowych
stwierdzając naruszenie przez Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej: „rozporządzenie 2016/679” nakłada na Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, karę pieniężną w wysokości 2 830 410 PLN (co stanowi równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.
UZASADNIENIE
W dniu […] listopada 2018 r. Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, (zwana dalej „Spółką”), zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanym dalej także „Prezesem UODO”) dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl oraz uzyskania przez osobę nieupoważnioną dostępu do […], a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych. Następnie, dnia […] grudnia 2018 r., Spółka zgłosiła do Prezesa Urzędu Ochrony Danych Osobowych kolejne naruszenie polegające na uzyskaniu nieuprawionego dostępu do […].
W dniach od […] do […] stycznia 2019 r. w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych dokonano czynności kontrolnych w Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A. Zakresem kontroli objęto przetwarzanie danych osobowych klientów sklepów internetowych: morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl, których administratorem jest Spółka.
Na podstawie zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na: naruszeniu przez Spółkę zasady poufności danych wyrażonej w art. 5 ust 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej „rozporządzeniem 2016/679”, odzwierciedlonej w postaci obowiązków określonych w art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b oraz d, art. 32 ust. 2 rozporządzenia 2016/679 polegającym na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych co spowodowało, że dostęp do danych osobowych klientów Spółki uzyskały osoby nieuprawnione oraz na naruszeniu zasady legalności, rzetelności i rozliczalności wyrażonych w art. 5 ust 1 lit. a oraz art. 5 ust. 2 rozporządzenia 2016/679, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 rozporządzenia 2016/679, poprzez niewykazanie, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 r. były przetwarzane przez Morele.net Sp. z o. o. z siedzibą w Krakowie na podstawie zgody osoby, której dane dotyczyły.
Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił następujący stan faktyczny sprawy:
- Przedmiotem działalności Spółki jest sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet. Spółka prowadzi sklepy internetowe: morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl.
- Spółka w związku z prowadzoną działalnością przetwarza dane osobowe klientów, którzy dokonali rejestracji na stronie internetowej morele.net (oraz stronach internetowych innych sklepów, wymienionych wyżej, których administratorem jest Spółka). Liczba osób, których dane są przetwarzane przez Spółkę wynosi ok. 2 200 000 (ok dwa miliony dwieście tysięcy) . Zakres tych danych obejmuje: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń, a dostęp do tych danych mają […]. Do grudnia 2018 r. Spółka przetwarzała również dane z wniosków ratalnych. Zakres tych danych obejmował: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu, numer PESEL, seria i numer dokumentu tożsamości, data wydania dokumentu tożsamości, data ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych (gromadzone od 2016 r.). Ich łączna liczba wynosiła ok 35 000 […].
- […].
- W dniu […] listopada 2018 r. Spółka została poinformowana przez klientów o otrzymywaniu przez nich krótkich widomości tekstowych (sms), informujących o konieczności dokonania dodatkowej opłaty, w wysokości 1 PLN, w celu dokończenia realizacji zamówienia. Wiadomość zawierała link do fałszywej bramki płatności elektronicznej DotPay. Spółka niezwłocznie powiadomiła o zdarzeniu Policję oraz przystąpiła do próby wyjaśnienia tej sprawy.
- […]
- Naruszenie ochrony danych osobowych zostało stwierdzone przez Spółkę w dniu […] listopada 2018 roku.
- Po przeprowadzeniu działań monitorujących w dniu […] listopada 2018 r. Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto, Spółka zamieściła na swojej stronie internetowej informację ostrzegającą o fałszywych smsach. Taka sama informacja była przez Spółkę wysyłana do klientów w wiadomościach e-mail oraz sms. Dnia […] grudnia 2018 r. Spółka ponownie poinformowała osoby, których dane dotyczą o naruszeniu, informując m.in. o potencjalnym uzyskaniu dostępu do danych z wniosków ratalnych.
- Jak wskazano w przesyłanych do Prezesa Urzędu Ochrony Danych Osobowych zgłoszeniach oraz zgłoszeniach uzupełniających, Spółka podjęła prace nad wprowadzeniem dodatkowych środków zabezpieczenia technicznego, m.in. w postaci […].
- W dniu […] listopada 2018 r. Spółka otrzymała wiadomość e-mail od nieznanej osoby, informującej o dokonanej przez nią kradzieży bazy danych klientów Spółki.
- W dniu […] listopada 2018 roku Spółka zgłosiła do Prezesa Urzędu Ochrony Danych Osobowych naruszenie dot. potencjalnego uzyskania nieuprawnionego dostępu do bazy danych klientów Spółki. Naruszenie dotyczyło około 2 200 000 (ok. dwóch milionów dwustu tysięcy) użytkowników.
- W dniu […] grudnia 2018 roku Spółka wysłała do klientów 2 200 000 (ok. dwóch milionów dwustu tysięcy) wiadomości mailowych zawierających zawiadomienie o nieuprawnionym dostępie do bazy danych klientów (treść zawiadomienia osób, których dane dotyczą została przesłana do Urzędu w uzupełnieniu zgłoszenia naruszenia). W powyższej informacji kierowanej do klientów Spółka poinformowała, że nie przetwarza danych pochodzących z wniosków kredytowych.
- W dniu […] grudnia 2018 r. Spółka zidentyfikowała kolejny nieuprawniony dostęp do […], wykorzystany do ponownej wysyłki fałszywych smsów, o czym zostało poinformowanych 600 osób, do których danych osoba nieuprawniona miała dostęp. […] W dniu […]grudnia 2018 r. naruszenie to zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
- Z uwagi na to, że powiadomienie osób, których dane dotyczą, nie spełniało wymogów określonych w art. 34 rozporządzenia 2016/679, w dniu […] stycznia 2019 r., Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r. poz. 1000 z późn. zm.), skierował do Spółki wystąpienie nakazujące ponowne zawiadomienie osób, których dane dotyczą o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych skutków naruszenia. W odpowiedzi na wystąpienie Prezesa Urzędu Ochrony Danych Osobowych Spółka ponownie skierowała zawiadomienie o naruszeniu ochrony danych osobowych do 35 000 (trzydziestu pięciu tysięcy) osób.
- W celu ustalenia okoliczności naruszeń ochrony danych zgłoszonych przez Spółkę oraz ustalenia stosowanych przez Spółkę środków zabezpieczenia technicznego, środków zastosowanych w celu zminimalizowania skutków naruszenia oraz zapobieżenia podobnym zdarzeniom, dnia […] stycznia 2019 r., Prezes Urzędu Ochrony Danych Osobowych skierował do Spółki wezwanie do złożenia wyjaśnień.
- W odpowiedzi na wezwanie z dnia […] stycznia 2019 r Spółka pismem z dnia […] stycznia 2019 r. przedstawiła obszerne wyjaśnienia, zawierające m.in: opis prowadzonych przez Spółkę działań po zaistniałym incydencie, opis stosowanych przez Spółkę środków zabezpieczenia technicznego i organizacyjnego, opis procedury obsługi żądań osób, których dane dotyczą.
- Do wyjaśnień z dnia […] stycznia 2019 r. Spółka dołączyła sprawozdanie finansowe za rok obrotowy od 01.01.2017 r. do 31.12.2017 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: […].
- Jak ustalono w toku kontroli, dokonanie zakupów w sklepach internetowych, których administratorem jest Spółka wymaga uprzedniej rejestracji. Niezbędne informacje do założenia konta obejmują adres poczty elektronicznej (e-mail) oraz hasło do konta użytkownika, które wprowadza klient sklepu. Po zalogowaniu użytkownik ma możliwość wpisania imienia, nazwiska, adresu oraz numeru telefonu (na potrzeby ustalenia podstawowych danych niezbędnych do doręczenia zakupionych towarów). Konto użytkownika istnieje w systemie Spółki do czasu wypowiedzenia umowy, tj. usunięcia konta przez użytkownika.
- Jak ustalono w toku kontroli, w 2016 r. zaktualizowana została obowiązująca w Spółce dokumentacja dot. przetwarzania danych osobowych. W 2017 r. Spółka rozpoczęła prace związane z rozpoczęciem stosowania przepisów rozporządzenia 2016/679, w zakresie dostosowania strony internetowej, profilu użytkownika, newslettera, dostosowania dokumentów wewnątrz Spółki, obiegu dokumentów w Spółce, środków zabezpieczenia fizycznego i technicznego. Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę doraźnie dla poszczególnych procesów, w sposób niesformalizowany.
- W toku kontroli pozyskano kopię dokumentacji wewnętrznej Spółki pt. „Raport po wykradzeniu bazy danych” (załącznik B10 do protokołu kontroli), […].
- […].
- Jak ustalono w toku kontroli, moduł obsługujący […] nie zapisuje w bazie danych Spółki informacji wprowadzanych przez Klienta. […]
- Zgodnie z przyjętymi w toku kontroli wyjaśnieniami, Spółka nigdy nie zbierała danych w zakresie skanów dowodów tożsamości należących do klientów składających […]. Formularz zakupów ratalnych od około […] października 2018 r. zawierał miejsce na wpisanie wyłącznie kwoty zobowiązań alimentacyjnych lub kwoty zobowiązań wynikających z innych orzeczeń sądowych. Spółka nie potwierdza, że takie dane były zapisane w bazie usuniętej w grudniu 2018 r.
- Pismem z dnia […] lutego 2019 r. Spółka zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych z wnioskiem o pilne rozpoznanie sprawy wskazując, że ze względu na medialny charakter sprawy oraz niepewność wobec sposobu zakończenia sprawy przez Prezesa Urzędu Ochrony Danych Osobowych ewentualne długie rozpatrywanie sprawy może stanowić zagrożenie dla funkcjonowania Spółki. […] .
W związku z powyższym dnia […] czerwca 2019 r. pismem znak: ZSPR.421.2.2019/43412, Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pełnomocnik Spółki (pełnomocnictwo w aktach sprawy), pismem z dnia […] lipca 2019 r., złożył wyjaśnienia, w których wskazał m.in., że:
- W ocenie Spółki, ustalenia dokonane w toku kontroli nie wskazują, na to, że Spółka w procesie przetwarzania danych osobowych naruszyła art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d, art. 32 ust. 2 rozporządzenia 2016/679.
- Spółka w toku kontroli (zgodnie z żądaniem kontrolujących), przedstawiła treść klauzuli zgody legalizującej przetwarzanie danych z wniosków ratalnych, w związku z tym nie można uznać, że Spółka przetwarzała dane z wniosków ratalnych bez podstawy prawnej a w konsekwencji nie jest prawidłowe stwierdzenie Prezesa Urzędu Ochrony Danych Osobowych, że w tym zakresie Spółka narusza art. 5 ust. 1 lit. a oraz art. 5 ust. 2 rozporządzenia 2016/679.
- Spółka posiadała zabezpieczenia, techniczne oraz organizacyjne, adekwatne do zidentyfikowanych zagrożeń, z uwzględnieniem warunków określonych w art. 24 oraz w art. 32 rozporządzenia 2016/679.
- Spółka na bieżąco dokonywała analizy ryzyka występujących zagrożeń i wdrażała nowe i aktualne metody zapewnienia bezpieczeństwa przetwarzanych danych, z uwzględnieniem warunków określonych w art. 24 oraz w art. 32 rozporządzenia 2016/679.
- Spółka nie zgadza się z zarzutem, że nie dokonywała na bieżąco oceny oraz nie monitorowała potencjalnych zagrożeń dla praw i wolności osób, których dane przetwarza, albowiem Spółka od wielu lat regularnie prowadzi badania, weryfikuje zagrożenia, wynajmuje firmy zewnętrzne w celu przeprowadzenia audytów bezpieczeństwa. Na tę okoliczność Spółka w toku kontroli przekazała szereg dowodów, […]
- Spółka powołała się również na przedłożoną w toku kontroli listę zastosowanych środków bezpieczeństwa.
- W ocenie Spółki, pośrednim dowodem potwierdzającym fakt bieżącego monitorowania zagrożeń oraz wprowadzania adekwatnych środków bezpieczeństwa jest reakcja Spółki na podejrzenie wycieku danych, które miało miejsce w listopadzie 2018 r. Spółka zaktualizowała stanowisko w zakresie ryzyka i wdrożyła nowe zabezpieczenia […] oraz wstrzymała proces zbierania danych z formularzy ratalnych. Działania te nie miały charakteru jednorazowego (spowodowanego incydentem w obszarze bezpieczeństwa). Stosowne działania Spółka podejmowała zawsze w sytuacji, gdy z rekomendacji zespołu IT lub IOD wynikała konieczność aktualizacji, modernizacji lub rozbudowania zabezpieczeń przetwarzania danych osobowych.
- Potwierdzeniem monitorowania zabezpieczeń w Spółce są zlecenia, które sporządzane są w celu poprawy zabezpieczeń, […].
- Spółka nie zgadza się również z zarzutem, że potencjalne zagrożenia nie są na bieżąco monitorowane. Takie twierdzenie nie znajduje potwierdzenia w żadnym dowodzie zebranym w toku kontroli. Przeciwnie, w ocenie Spółki zgromadzony materiał wskazuje na to, że działania w powyższym zakresie były podejmowane. Prezes UODO nie określił w jakim konkretnie zakresie w jego ocenie Spółka uchybiła obowiązkowi bieżącego monitorowania zagrożeń, co uniemożliwia precyzyjniejsze odniesienie się do formułowanego zarzutu oraz sformułowanie dodatkowych wniosków dowodowych.
- Rozporządzenie 2016/679 nakłada na administratorów obowiązek odpowiednich (do zagrożeń) zabezpieczeń, a nie zabezpieczeń skutecznych w każdych okolicznościach. Ryzyko związane z przetwarzaniem zawsze istnieje, niezależnie od zastosowanych środków. Zadaniem administratora jest to by je minimalizować, stosując środki adekwatne, co Spółka czyniła i czyni.
- Wbrew twierdzeniom Prezesa UODO, dotyczącym doboru nieskutecznych środków na poziomie monitorowania ruchu sieciowego, Spółka monitoruje ruch sieciowy, o czym świadczą przyjęte techniczne środki bezpieczeństwa obejmujące monitorowanie ruchu sieciowego tj.; […].
- Spółka zwraca również uwagę, że „Raport po wykradzeniu bazy danych” (załącznik B10 do protokołu kontroli) nie powstałby, gdyby Spółka nie monitorowała ruchu (por. tabela wskazująca poziom ruchu sieciowego).
- W ocenie Spółki brak jest podstaw do stwierdzenia, że Spółka na bieżąco nie badała poziomu bezpieczeństwa danych i nie dostosowywała go do zidentyfikowanych zagrożeń.
- W ocenie Spółki zarzut braku oceny ryzyka uzyskania dostępu do […] nie znajduje potwierdzenia w materiale dowodowym zebranym w toku kontroli. Z przeprowadzonej przez Spółkę analizy ryzyka wynika, iż dostęp do […] miały jedynie upoważnione osoby (pracownicy Spółki), którym nadano stosowne uprawnienia.
- Spółka zwraca również uwagę, że rozporządzenie 2016/679 nakazuje analizę i ocenę procesów przetwarzania danych osobowych, a nie poszczególnych systemów informatycznych. Systemy IT (i ich zabezpieczenia) są jedynie stosowanymi środkami technicznymi, o których mowa np. w art. 24 ust. 1 rozporządzenia 2016/679 lub w art. 32 ust. 1 rozporządzenia 2016/679.
- Przeprowadzona analiza stanu faktycznego i ponowna ocena ryzyk spowodowały, że zarząd Spółki podjął decyzję o […].
- Wobec tego, że Prezes UODO podsumowując zarzuty stwierdził, że wcześniejsze wdrożenie i wprowadzenie dodatkowych środków mogłoby znacznie zmniejszyć ryzyko uzyskania nieuprawnionego dostępu, Spółka zwraca uwagę, że teza ta nie została wsparta żadnymi argumentami, jak również uzasadnieniem dlaczego mając na uwadze stosowane przez Spółkę zabezpieczenia były one nieodpowiednie.
- Według oceny Spółki, zastosowane techniczne i organizacyjne środki bezpieczeństwa były odpowiednie do ryzyka związanego z przetwarzaniem danych osobowych, zgodnie z art. 24 ust. 1 i 32 ust. 1 rozporządzenia 2016/679. W materiale dowodowym brak jest podstaw do stawiania przeciwnych tez. Spółka stoi na stanowisku, że stosowane techniczne i organizacyjne środki bezpieczeństwa były adekwatne do zagrożeń i spełniały warunki określone w przepisach.
- Odnosząc się do zarzutu Prezesa Urzędu Ochrony Danych Osobowych, że Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych, Spółka wskazuje, że treść zgody znajduje się na pierwszej stronie załącznika A22 oraz załącznika A23 do protokołu kontroli. […]. W związku z tym zarzut Prezesa Urzędu Ochrony Danych Osobowych w powyższym zakresie jest błędny i nie ma oparcia w zgromadzonym materiale dowodowym.
- Materiał dowodowy, nie uzasadnia postawionego przez Prezesa Urzędu Ochrony Danych Osobowych zarzutu, iż Spółka nie posiada udokumentowanej analizy procesu przetwarzania danych w zakresie funkcjonalności zapisywania danych z wniosków ratalnych. Z materiału dowodowego wynika, że Spółka na bieżąco weryfikowała, oceniała oraz monitorowała proces przetwarzania danych związany z wnioskami ratalnymi. Przykładem prowadzonej analizy jest […] ustalający treść zgody, który został przygotowany w związku z bieżącą analizą procesu przetwarzania.
- Jako przykład analizy i stosowania odpowiednich (adekwatnych) środków technicznych względem danych osobowych związanych z […]. Jedynie sam użytkownik (klient) sklepu miał możliwość wyświetlenia danych podczas kolejnego wypełniania formularza ratalnego (Privacy-by-Default).
- Spółka podniosła, że zgodnie z zasadą rozliczalności administrator ma obowiązek wykazać przestrzeganie rozporządzenia 2016/679, jednak może w tym celu posługiwać się dowolnymi środkami, w tym m.in. logami systemowymi, procedurami (niezależnie od tego czy mają formę dokumentu czy też nie). W niniejszej sprawie przykładem zapewnienia rozliczalności jest […].
- Odnosząc się do zarzutu Prezesa Urzędu Ochrony Danych Osobowych, że Spółka dane osobowe z wniosków ratalnych usunęła bez szczegółowej analizy, Spółka wskazuje, że rozporządzenie 2016/679, pozwala i nakazuje usuwanie danych w momencie, w którym administrator przestanie mieć cel przetwarzania. Spółka zakończyła proces przetwarzania danych, których przetwarzanie było oparte na zgodzie i nie miała innych celów przetwarzania, zatem dane zostały usunięte. Zamknięcie procesu było umotywowane przeprowadzoną analizą ryzyka, w związku z korespondencją prowadzoną z szantażystą.
- Odnosząc się do uwagi Prezesa Urzędu Ochrony Danych Osobowych, że Spółka nie udokumentowała usunięcia danych, Spółka wskazuje, że w związku z zamknięciem procesu przetwarzania danych, proces został usunięty z Rejestru Czynności Przetwarzania. Usunięcie bazy danych zostało również udokumentowane […]. Ponadto, Prezes Urzędu Ochrony Danych Osobowych nie wskazał przepisu, który Spółka miałaby naruszyć w związku z usunięciem bazy danych.
- W ocenie Spółki zebrany w sprawie materiał dowodowy nie uzasadnia twierdzenia Prezesa Urzędu Ochrony Danych Osobowych, że Spółka przetwarzała dane osobowe z wniosków ratalnych bez podstawy prawnej tj. bez zgody osoby, której dane dotyczą, albowiem treść zbieranych zgód zawarta jest w załączniku A22 oraz załączniku A23 do protokołu kontroli.
Ponadto, w piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego pełnomocnik Spółki zwrócił się do Prezesa Urzędu Ochrony Danych Osobowych o:
- dopuszczenie i przeprowadzenie dowodu z opinii biegłego w zakresie bezpieczeństwa systemów informatycznych w celu: a) ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakterze działalności Spółki w 2018 r.; b) oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakterze działalności Spółki w 2018 r.; c) oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
- dołączenie do akt postępowania kopii dotychczasowej korespondencji prowadzonej pomiędzy UODO a Spółką (pismo Spółki z dnia […] stycznia 2019 r., pismo Spółki z dnia […] lutego 2019 r., jak również zgłoszeń naruszeń dokonanych przez Spółkę).
Postanowieniem z dnia […] sierpnia 2019 r. Prezes Urzędu Ochrony Danych Osobowych odmówił uwzględnienia wniosku Spółki o dopuszczenie i przeprowadzenie wniosku z opinii biegłego.
W odpowiedzi na postanowienie z dnia […] sierpnia 2019 r. oraz informację o zebraniu materiału dowodowego z dnia […] sierpnia 2019 r. pełnomocnik Spółki podtrzymał dotychczasowe stanowisko Spółki oraz wniósł o umorzenie przedmiotowego postępowania administracyjnego. W szczególności Spółka podtrzymuje wyrażone wcześniej stanowisko, że brak jest dowodów wskazujących na naruszenie przepisów ochrony danych osobowych przez Spółkę, w szczególności w zakresie stosowania odpowiednich środków bezpieczeństwa oraz nie zgadza się z twierdzeniem Prezesa Urzędu Ochrony Danych zawartym w zawiadomieniu o wszczęciu postepowania z dnia […] czerwca 2019 r. o naruszeniu przepisów rozporządzenia 2016/679.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
1. Art. 5 rozporządzenia 2016/679, formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679 dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”).
Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679 uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Zgodnie z art. 25 ust. 1 zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania).
Stosownie do art. 32 ust. 1 lit. b rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz stosownie do art. 32 ust. 1 lit. d rozporządzenia 2016/679 regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit b i d oraz art. 32 ust. 2 rozporządzenia 2016/679 stanowią więc konkretyzację wskazanej w art. 5 ust. 1 lit. f rozporządzenia 2016/679, zasady poufności. W związku z tym przedmiotową sprawę należy analizować pod kątem spełnienia przesłanek współwyznaczających poziom właściwych do zastosowania środków technicznych i organizacyjnych.
Zasada poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieupoważnionym, w stanie faktycznym przedmiotowej sprawy została naruszona w wyniku dwukrotnego uzyskania dostępu do […]. […] oraz do danych wszystkich klientów z systemu bazodanowego Spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzane są przez Spółkę, w postaci zastosowania metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta.
Przedmiotowe naruszenie poufności, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, należy rozpatrywać z perspektywy dwóch zdarzeń: uzyskania nieuprawnionego dostępu do […] oraz uzyskania danych wszystkich klientów z systemu bazodanowego Spółki.
W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, nieskuteczny środek uwierzytelniania przyczynił się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu […].
Jak wskazuje Spółka w piśmie z […] stycznia 2019 r., bezpośrednio po stwierdzeniu naruszenia polegającego na uzyskaniu dostępu […] przez osobę nieuprawnioną, podjęto prace nad wprowadzeniem dodatkowych środków zabezpieczenia technicznego m.in. w postaci […].
Prezes Urzędu Ochrony Danych Osobowych, w zawiadomieniu o wszczęciu postępowania administracyjnego, wskazał, że Spółka nie wypełniła obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. W odpowiedzi Spółka wskazała, że jej pracownicy otrzymują stosowne uprawnienia i upoważnienia dostępu do poszczególnych systemów informatycznych i baz danych a dostęp ten nadzorowany jest przez zespół administratorów. Ponadto wskazała, że zespół IT Spółki, na bieżąco monitoruje funkcjonowanie […] i dostosowuje rozwiązania do standardów rynkowych oraz zagrożeń a stosowane w Spółce […] umożliwiały wykrywanie nietypowych zachowań.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych z uwagi na […]. Jak wynika ze zgromadzonego w toku kontroli materiału, Spółka korzystała z zewnętrznych audytorów bezpieczeństwa (Załącznik B11 i B12 do protokołu kontroli) i wdrażała ich rekomendacje w zakresie zidentyfikowanych podatności w kodzie oprogramowania, który służy do przetwarzania danych osobowych. W ocenie organu nadzorczego, w sposób niewystarczający oceniono zdolność do ciągłego zapewnienia poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu […]. Jak wskazała Spółka w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, „nie jest celem omawianej regulacji wyeliminowanie ryzyka w pełni, czego uczynić się nie da a jedynie wdrożenie rozwiązań technicznych i organizacyjnych odpowiednich i proporcjonalnych, przy uwzględnieniu ocenianych kryteriów” oraz, że rozporządzenie 2016/679 „nakłada na administratorów obowiązek odpowiednich (do zagrożeń) zabezpieczeń, a nie zabezpieczeń skutecznych w każdych okolicznościach”.
W tym miejscu wskazać należy, że kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r. z uwzględnieniem ww. normy (w wersji z 2013 r.) oraz przepisów rozporządzenia 2016/679, w ramach kontroli dostępu i uwierzytelniania rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.
Zgodnie z podejściem opartym na ryzyku, wynikającym m.in. z art. 25 ust. 1 rozporządzenia 2016/679, wybór odpowiedniego środka uwierzytelniania powinien opierać się na ocenie ryzyka realizowanej za jej pomocą transakcji lub usługi. Norma PN-ISO/IEC 29115:2017‑07 („Technika informatyczna -- Techniki bezpieczeństwa -- Ramy uzasadnionej pewności poziomów uwierzytelnienia”), podobnie jak motywy 75 czy 85 rozporządzenia 2016/679 wskazuje możliwe konsekwencje i skutki niepowodzenia uwierzytelnienia w zależności od zastosowanego poziomu m.in. nieuprawnione ujawnienie poufnych informacji czy strata finansowa.
Na zasadność stosowania prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i uwierzytelniania wskazują również inne organizacje zajmujące się bezpieczeństwem informacji.
Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w swoim dokumencie „OWASP Top 10 – 2017”, przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania im. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń.
Również ten dokument, jak i przytoczona wyżej norma odwołują się do opracowania amerykańskiej agencji federalnej - Narodowego Instytutu Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST) dokumentu – „NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji” (ang. Digital Identity Guidelines: Authentication and Lifecycle Management).
Zarówno norma PN-ISO/IEC 29115:2017 07, dokument NIST 800-63B oraz opracowania organizacji OWASP wskazują, że dobór właściwego środka uwierzytelniającego powinien być poprzedzony analizą ryzyka i być poddawany ciągłym przeglądom.
Ryzyko, w stanie faktycznym przedmiotowej sprawy, dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta. Jak wskazuje się w literaturze, wśród ataków phishingowych można wyróżnić ataki ukierunkowane na konkretne grupy osób (tzw. spearphishing) a osoba atakując poświęca czas na uzyskanie informacji o celu i utworzenie wiadomości spersonalizowanej, związanej z sytuacją danej osoby (w przedmiotowej sprawie – osoby, która dokonywała transakcji zakupowej) co sprawia, że wiadomości tego typu (w przedmiotowej sprawie - sms wzywający do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay) mogą być trudne do wykrycia i obrony.
Jak wynika z raportów rocznych dotyczących działalności CERT Polska za 2016, 2017 i 2018 rok, phishing to jeden z najczęściej występujących typów incydentów i najbardziej wyróżniająca się kategoria na tle pozostałych ataków a odsetek tego typu incydentów utrzymuje się wciąż na podobnym poziomie (w 2018 r. ok 44 proc.). Jak wskazuje CERT Polska najbardziej powszechnym motywem przestępców jest chęć pozyskania danych uwierzytelniających do różnych serwisów internetowych w tym banków. Ponadto scenariusze dotyczące podszywania się pod pośredników płatności, co miało miejsce w stanie faktycznym przedmiotowej sprawy, stały się w 2018 r. najpopularniejszym atakiem na użytkowników bankowości elektronicznej, powodując znaczne straty finansowe. CERT Polska wskazuje, że pierwsze tego typu praktyki miały miejsce już w 2017 r. co potwierdzają również doniesienia prasowe.
W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności, których dane są przetwarzane przez Spółkę, przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego Spółki.
Jak wskazuje Spółka w piśmie z […] lipca 2019 r., wskazanie przez Prezesa Urzędu Ochrony Danych Osobowych w zawiadomieniu o wszczęciu postępowania administracyjnego, że potencjalne zagrożenia nie są na bieżąco monitorowane „nie znajduje (…) potwierdzenia w żadnym dowodzie zebranym w trakcie przeprowadzonej kontroli”. Ponadto Spółka wskazała, że „wbrew twierdzeniom Prezesa UODO dotyczącym doboru nieskutecznych środków”, monitoruje ruch sieciowy i wskazała na przyjęte techniczne środki bezpieczeństwa w tym zakresie m.in. […].
W ocenie Prezesa Urzędu Ochrony Danych mimo zastosowania takiego rozwiązania Spółka nie była w stanie zareagować na nietypowe zdarzenie w systemie monitorującym polegającym zwiększonym przesyle danych. W dokumencie „Raport po wykradzeniu bazy danych” (załącznik B10 do protokołu kontroli) wskazano, że w […].
Przedstawiony stan faktyczny wskazuje, ze Spółka, od października 2018 r. do stycznia 2019 r. nie posiadała wiedzy na temat przyczyn zwiększonego przesyłu danych. […]. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, przyjęte przez Spółkę środki mogłyby być skuteczne gdyby były odpowiednio dostosowane oraz wdrożono procedurę reagowania na zdarzenia niepożądane takie jak nietypowy ruch sieciowy. Agencja ENISA, w wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych również wskazuje, że monitorowanie zdarzeń w systemach informatycznych jest istotnym elementem umożliwiającym identyfikację potencjalnych wewnętrznych lub zewnętrznych zagrożeń. Zadanie to powinno być realizowane w postaci odpowiednich wdrożonych procedur i systemu powiadamiania o zdarzeniach niepożądanych.
Jak podkreśla się w motywie 76 rozporządzenia 2016/679 (motywy zawierają uzasadnienie przepisów części normatywnej (artykułów) aktu jakim jest rozporządzenie), ryzyko należy szacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Równocześnie należy uwzględniać przyczyny wystąpienia ryzyka związane z charakterem danych, zakresem ich przetwarzania, kontekstem i celami, jak również innymi elementami wskazanymi w motywie 75 rozporządzenia 2016/679, biorąc przy tym pod uwagę art. 32 rozporządzenia 2016/679, w tym – szczególnie – relację tych przyczyn do bezpieczeństwa danych i skutków niezapewnienia tego bezpieczeństwa (art. 32 ust. 2).
Zgodnie z art. 32 ust. 2 i uwzględniając motyw 83 rozporządzenia 2016/679 oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem (w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych (motyw 83).
W stanie faktycznym przedmiotowej sprawy, Spółka przetwarzając dane osobowe ponad 2 200 000 użytkowników, co należy uznać za przetwarzanie danych osobowych na dużą skalę oraz biorąc pod uwagę zakres danych i kontekst przetwarzania miała obowiązek skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza.
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru jak i poziomu skuteczności stosowanych środków technicznych. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
W stanie faktycznym przedmiotowej sprawy Spółka wywiązywała się z tego obowiązku częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu - na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki […] . W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka tym samym nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 zd. 2 rozporządzenia 2016/679, a także wynikającym zart. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Uwzględniając przy tym charakter, zakres, kontekst i cel przetwarzania danych oraz wynikające z nich ryzyka dla praw i wolności osób fizycznych administrator ma obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych.
Wskazać należy, że wcześniejsze zastosowanie wdrożonego […] grudnia 2018 r. […] oraz wdrożona […] znacząco obniżyłoby ryzyko uzyskania nieuprawnionego dostępu przez osobę nieupoważnioną, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez Spółkę przetwarzane, czyli udostępnieniu danych nieuprawnionym odbiorcom.
Reasumując, w ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka zastosowała środki techniczne i organizacyjne, które przyczyniły się w ograniczonym stopniu do wypełnienia wymogów z art. 32 rozporządzania rozporządzenia 2016/679, gdyż przewidywalne ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.
2. Wymóg z art. 5 ust. 1 lit. a rozporządzenia 2016/679 nakłada na administratora obowiązek przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza m.in. konieczność spełnienia co najmniej jednej z przesłanek legalności przetwarzania danych, które zostały określone w art. 6 rozporządzenia 2016/679 oraz konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych.
Zgodnie z art. 6 ust. 1 lit. a rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem w przypadku, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Jak wynika z art. 4 pkt 11 rozporządzenia 2016/679, zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Natomiast z treści art. 7 ust. 1 rozporządzenia 2016/679 w przypadku, gdy przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie otrzymania zgody podmiotu danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.
Za prawidłowe dla celów dowodowych, związanych ze spoczywającym na administratorze w myśl art. 7 ust. 1 rozporządzenia 2016/679 ciężarem dowodu, uznaje się zbieranie i utrwalanie informacji na temat tego, kto udzielił zgody i jaką miała ona treść, kiedy została ona udzielona, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia o wyrażeniu zgody, jakie informacje zostały udzielone o sposobie wyrażenia zgody, oraz czy zgoda została wycofana i jeśli tak, to kiedy. Posiadanie przez administratora ww. informacji, na temat zgody wyrażonej przez osobę, której dane dotyczą stanowi uszczegółowienie ogólnej zasady rozliczalności sformułowanej w art. 5 ust. 2 rozporządzenia 2016/679. W przypadku gdy administrator nie jest w stanie wykazać, że i jaką zgodę na przetwarzanie danych wyraziła osoba, której dane dotyczą, zgoda ta może być kwestionowana.
Jak ustalono w toku kontroli, Spółka pozyskiwała dane z wniosków ratalnych co miało ułatwić klientom występowanie z kolejnymi wnioskami o zakupy ratalne (autouzupełnianie formularza ratalnego). Jak wskazano w wyjaśnieniach, dane te nie były wykorzystywane przez Spółkę w żadnym innym własnym celu. Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych (prawdopodobnie w roku 2016) oraz nie posiada w tym zakresie udokumentowanej analizy procesu przetwarzania danych. Z materiału dowodowego wynika, że około […] grudnia 2018 r. Spółka, na ustne polecenie […], usunęła bazę danych zawierającą dane klientów z tzw. „wniosków ratalnych”. Nie przeprowadzono w tym zakresie szczegółowej analizy oraz nie udokumentowano usunięcia danych.
Odnosząc się do wyjaśnień dotyczących naruszenia zasady zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych, trzeba stanowczo podkreślić, że Spółka nie była w stanie wykazać od kiedy zbierała dane osobowe w celu ułatwienia wypełniania przyszłych wniosków […] i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie. W wydruku […]znajduje się wyłącznie wskazanie, że dopiero w związku z nowelizacją przepisów o ochronie danych osobowych („w związku z RODO”) należy dodać dwie zgody na stronie […] .
Z uwagi na to, że zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia Spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej. […].
W toku kontroli Spółka nie przedstawiła klauzul czy wzorów stosowanych zgód zbieranych przed rozpoczęciem stosowania rozporządzenia 2016/679, wobec powyższego należy stwierdzić, że administrator nie wykazał, że pozyskał odpowiednie zgody od osób, których dane zebrał w okresie od roku 2016 (jak wskazano w wyjaśnieniach - okres, od którego Spółka zaczęła pozyskiwać dane z wniosków ratalnych) do maja 2018 r. na przetwarzanie danych z wniosków ratalnych.
Z tych względów wyjaśnienia Spółki dotyczące zakończonego procesu przetwarzania danych wobec braku innych dowodów, nie są wystarczające aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami prawa, w tym na podstawie prawidłowo sformułowanej przesłanki zgody.
Takie podejście Spółki do procesu przetwarzania danych, pomimo, że sam proces uważany jest za zamknięty (dane zostały usunięte), godzi w podstawowe zasady przetwarzania danych w tym zasadę legalności i rzetelności wskazane w art. 5 ust 1 lit. a rozporządzenia 2016/679, bowiem administrator musi zawsze być w stanie wykazać, że dane osobowe są przetwarzane zgodnie z prawem. Natomiast zasada rozliczalności (art. 5 ust. 2 rozporządzenia 2016/67), wymaga aby administrator był w stanie wykazać, że przestrzega swoich obowiązków wynikających z przepisów o ochronie danych osobowych. Wymogi te dotyczą wszystkich etapów przetwarzania danych, co odnosi się także do sytuacji gdy występują naruszenia ochrony danych lub w przetwarzaniu zachodzą istotne zmiany. Natomiast rozliczalność ma zastosowanie nie tylko w chwili zbierania danych osobowych, ale przez cały czas przetwarzania, bez względu na przekazywane informacje lub sposób komunikacji. Spółka wysłała do klientów zawiadomienie o nieuprawnionym dostępie do bazy danych klientów, w którym poinformowała, że nieuprawniony dostęp nie dotyczył informacji podawanych we wnioskach ratalnych ponieważ nie gromadzi takich danych, co mogło wprowadzić klientów w błąd. Z tych też powodów decyzja administratora o usunięciu danych, która nie została poprzedzona utrwaloną analizą świadczy o nierespektowaniu podstawowych zasad ochrony danych osobowych, o których mowa powyżej.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postepowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
a) Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, co skutkowało dwukrotnym uzyskaniem dostępu do […] przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych wszystkich klientów Spółki w łącznej liczbie około 2 200 000 (około dwóch milionów dwustu tysięcy) osób; tym samym, poprzedzające wystąpienie naruszenia działania Spółki zmierzające do zapewnienia bezpieczeństwa przetwarzania danych należy uznać za nieskuteczne, albowiem nie przyczyniły się one do wyeliminowania ryzyka zaistnienia szkód;
b) stwierdzone w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 rozporządzenia 2016/679 polegające na uzyskaniu nieuprawnionego dostępu do panelu pracownika Spółki przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych klientów Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2 200 000 (około dwóch milionów dwustu tysięcy) osób, do których danych dostęp miała osoba bądź osoby nieuprawnione; co istotne, wobec dwukrotnego naruszenia poufności systemu informatycznego Spółki, wobec 600 (sześciuset) osób ryzyko to jest proporcjonalnie większe; naruszenie przez Spółkę obowiązków zastosowania środków zapewniających bezpieczeństwo przetwarzanych danych, przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu zawarcia stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane ujawniono; znaczący wpływ na wagę naruszenia ma również okoliczność, że na Spółce, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę; prowadząc działalność komercyjną, a przy tym gromadząc dane za pośrednictwem sieci Internet, Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych; poczynione przez Prezesa Urzędu Ochrony Danych Osobowych ustalenia faktyczne dowodzą, iż Spółka w chwili wystąpienia stwierdzonych naruszeń zadaniu temu nie sprostała;
c) naruszenie art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 rozporządzenia 2016/679, powstało na skutek niedochowania należytej staranności przez Spółkę i niewątpliwie miało charakter nieumyślny, niemniej jednak Spółka jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych; na szczególnie naganną ocenę zasługuje przy tym okoliczność, iż Spółka, pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła w czasie rzeczywistym, tj. w dniach 07.10.2018 - 14.10.2018 r., zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące;
d) naruszenie polegające na niezapewnieniu bezpieczeństwa i poufności danych trwało co najmniej od dnia […] listopada 2018 r. (kiedy to klienci Spółki poinformowali o otrzymywaniu widomości sms wzywających do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay) do dnia […] grudnia 2018 r. (tj. wprowadzenia przez Spółkę dodatkowych zabezpieczeń technicznych) – co należy uznać za stosunkowo krótki okres; jednakże, okoliczność ta nie może wpływać łagodząco na rozstrzygnięcie organu nadzorczego, naruszenie to dotyczyło bowiem znacznej liczby osób fizycznych; wyciek danych 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób – nawet jeśli jest zdarzeniem krótkotrwałym czy jednorazowym – winien być oceniany surowo, ze względu na charakter i duża wagę oraz zakres, a także z uwagi na jego możliwe długofalowe następstwa dla podmiotów danych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:
a) podjęcie przez Spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia; jak bowiem ustalono w toku postępowania, następczo w stosunku do zgłoszonych naruszeń, wprowadzono w Spółce m.in. […];
b) dobrą współpracę ze strony Spółki, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania niniejszego postępowania współpracowała z Prezesem Urzędu Ochrony Danych Osobowych w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; w wyznaczonym terminie Spółka przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa Urzędu Ochrony Danych Osobowych, zatem stopień tej współpracy należy ocenić jako pełny;
c) brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową;
d) nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postepowania.
Żadnego wpływu na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały okoliczności, iż:
a) Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679,
b) w tej samej sprawie nie zostały wcześniej zastosowane wobec Spółki środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679,
c) brak jest dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i powodujących uniknięcie strat w związku z naruszeniem.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych Spółce naruszeń. Stwierdzić należy, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679 (a odzwierciedlonej w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 rozporządzenia 2016/679), a nadto naruszenia zasad legalności, rzetelności i przejrzystości, wyrażonych w art. 5 ust. 1 lit. a rozporządzenia 2016/679 oraz zasady rozliczalności, wyrażonej w art. 5 ust. 2 (uszczegółowionych w art. 6 oraz 7 rozporządzenia 2016/679) – zastosowanie znajdzie art. 83 ust. 5 lit. a rozporządzenia 2016/679, zgodnie z którym naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa m.in. w art. 5, 6, 7 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jednocześnie, wobec stwierdzenia przez Spółkę naruszenia w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów rozporządzenia 2016/679, stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie.
W przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie przez Spółkę zasady poufności określonej w art. 5 ust 1 lit. f rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia oraz krąg osób nim dotkniętych (ok. 2 200 000 - około dwóch milionów dwustu tysięcy użytkowników sklepów internetowych, których administratorem jest Spółka). Co istotne, w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba nieuprawniona podjęła działania zmierzające do uzyskania dostępu do tychże informacji.
Naruszenie przez Spółkę zasad legalności i rzetelności wyrażonych w art. 5 ust 1 lit. a oraz zasady rozliczalności z art. 5 ust. 2 rozporządzenia 2016/679 należy uznać natomiast na naruszenie mniejszej wagi. W przypadku drugiego ze stwierdzonych naruszeń, krąg osób nim dotkniętych jest znacznie mniejszy (ok. 35 tysięcy – ok. trzydzieści pięć tysięcy użytkowników składających wnioski ratalne). Spółka usunęła również te dane uznając, że ich dalsze przetwarzanie wiąże się z większym ryzykiem. Zbieranie danych z wniosków […] bez podstawy prawnej, tj. zgody osoby, której dane dotyczą, miało miejsce przed rozpoczęciem stosowania rozporządzenia 2016/679, zaś po nowelizacji przepisów Spółka zbierała dane na podstawie zgody, co udowodniła w toku kontroli i w trakcie trwania postępowania.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a rozporządzenia 2016/679, w związku z art. 103 ustawy o ochronie danych osobowych z dnia 2018 r., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2019 r. (1 EUR = 4.2885 PLN) – administracyjną karę pieniężną w kwocie 2 830 410 PLN (co stanowi równowartość 660 000 EUR).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Spółkę kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Spółka od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, nałożona na Spółkę kara pieniężna jest również proporcjonalna do jej sytuacji finansowej i nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 2 830 410 PLN jest w pełni uzasadnione.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sama Spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochrony danych osobowych w przyszłości.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez Spółkę obowiązków przewidzianych w art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018, poz. 1302, z późn. zm.). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000.