Kara za błędy związane z wysyłką korespondencji

Prezes Urzędu Ochrony Danych Osobowych (PUODO) decyzją z dnia 22 kwietnia 2021 roku nałożył na Cyfrowy Polsat S.A. karę pieniężną w wysokości 1.1 mln zł, za niewdrożenie odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską (odpowiednich tzn. takich, aby przetwarzanie odbywało się zgodnie z RODO)[1].

Ukarane przedsiębiorstwo regularnie zgłaszało do PUODO naruszenia ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe innych osób: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów[2].

PUODO w w/w decyzji wskazał, że brak wdrożonych przez administratora odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia ochrony danych powodował, że osoby, których dane dotyczą przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione (np. do tzw. kradzieży ich tożsamości). Nie mogły też przez ten czas podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Według PUODO nie wystarczało bowiem działanie administratora polegające na zgłaszaniu naruszeń, gdy tylko informację o nich otrzymał od firmy kurierskiej (z którą podpisał umowę), ale przede wszystkim to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybkie identyfikowanie takich incydentów i tym samym powiadamianie osób, których dotyczy dane zdarzenie oraz organu nadzorczego (PUODO). Zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. W przesyłkach obok w/w danych podstawowych identyfikujących osobę fizyczną były też inne dane, takie jak ID kontraktu, numer umowy, numery faktur[3].

Zgubiona korespondencja lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy zawierającej szereg identyfikatorów pozwalających ustalić tożsamość osoby fizycznej – to naruszenie, które podlega zgłoszeniu do organu nadzorczego. Brak zgłoszenia lub zwłoka w dokonaniu zgłoszenia, jak też brak działań mających na celu zminimalizowanie ryzyka naruszenia praw i wolności osoby fizycznej mogą mieć znaczący wpływ na wykorzystywanie ujawnionych danych przez osoby nieuprawnione.

Mając na uwadze wysokość kary pieniężnej, a w szczególności bezpieczeństwo danych osobowych podmiotów danych, administrator powinien stosować odpowiednie środki techniczne i organizacyjne, które pozwolą zapewnić odpowiednią ochronę przetwarzanych danych osobowych. Przedmiotowa ochrona może zostać osiągnięta m.in. za pomocą:

  • pseudonimizacji i szyfrowania danych osobowych,
  • środków organizacyjnych, które zagwarantują zdolność do ciągłego zapewnienia poufności (odpowiednie adresowanie korespondencji – „podwójne sprawdzenie”), integralności, dostępności i odporności systemów i usług przetwarzania,
  • środków organizacyjnych, które zagwarantują zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Przesłanie korespondencji do niewłaściwego adresata wraz z danymi osobowymi obejmującymi: imię, nazwisko, nr PESEL, nr telefonu, adres e-mail, nr faktury, nr umowy oraz inne dane, za pomocą których może zostać zidentyfikowana osoba fizyczna może prowadzić do:

  • przesyłania niezamawianych przesyłek i ofert marketingowych na adres podmiotu danych,
  • zawarcia umowy cywilno-prawnej lub zakup towarów z odroczoną płatnością,
  • zaciągnięcia pożyczek lub kredytów w instytucjach poza-bankowych,
  • uzyskania dostępu do świadczeń opieki zdrowotnej,
  • oddania głosu w głosowaniach nad budżetami obywatelskimi lub innymi inicjatywami
    i procedurami o podobnym charakterze.

W celu chronienia przetwarzanych danych, w tym danych powierzonych, administrator powinien w sposób ciągły testować fizyczne i organizacyjne zabezpieczenia własne, a także podmiotu przetwarzającego.
Pozwoli to na wykrycie słabości w stosowanych rozwiązaniach. I może mieć pozytywny wpływ na wyeliminowanie potencjalnego zagrożenia naruszenia ochrony danych osobowych (a w konsekwencji uniknięcie negatywnych skutków po stronie podmiotów danych oraz uchronienie się przez administratora przed karą administracyjną nakładaną przez organ nadzorczy).


[1] Aktualności - UODO, dostęp: 07.06.2021 r.
[2] Decyzje Prezesa UODO - UODO, dostęp: 07.06.2021 r.,
[3] Aktualności - UODO, dostęp: 07.06.2021 r.

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem