Kary wynikające z nieprzestrzegania RODO nałożone w Polsce i za granicą
w branży HORECA i nie tylko – na co warto zwrócić uwagę.
W maju bieżącego roku miną 4 lata od wejścia w życie ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nazywanego popularnie RODO. Przepisy które miały zapewnić większą niż dotychczas ochronę danych osobowych były niezwykle ogólne co nie ułatwiało nikomu wdrożenia nowych zasad.
Wynikało to z faktu że olbrzymi postęp technologiczny w ostatnich latach znacząco przyspieszył i to co wczoraj wydawało się niemożliwe, dzisiaj jest realizowane, a jutro może być wręcz przestarzałe.
Tak więc, aby minimalizować ryzyko, że przepisy po kilku latach zdezaktualizują się, nie wskazano żadnych konkretnych rozwiązań w oparciu o bieżące rozwiązania technologiczne.
Z drugiej strony olbrzymie kary, sięgające do 20.000.000,00 euro lub 4% obrotu rocznego przedsiębiorstwa za nieprzestrzeganie RODO, stanowiły bodziec do szybkiej implementacji nowych przepisów.
Administratorzy opracowując dokumentację potwierdzającą wdrożenie RODO czekali na wytyczne i wskazówki od Europejskiej Rady Ochrony Danych (wcześniej Grupa Robocza Art.29) oraz krajowych organów nadzorczych.
Polski organ nadzorczy, czyli Urząd Ochrony Danych Osobowych (zwany dalej w skrócie UODO) między innymi przygotował poradnik w zakresie stosowania monitoringu, przedstawił przykładowy rejestr czynności przetwarzania, oraz poradnik dla pracodawców w zakresie zatrudniania pracowników. Ponadto UODO co miesiąc publikuje newsletter zawierający krótkie artykuły, udziela odpowiedzi na często zadawane pytania przez Inspektorów Ochrony Danych (IOD), oraz przedstawia wybrane kary nałożone przez inne europejskie organy nadzorcze.
Cztery lata temu wszyscy zastanawiali się za jakie uchybienia będą nakładane kary przez europejskie organy nadzorcze, oraz w jakiej będą wysokości. Oczekiwano, że kary, które się pojawią, wskażą elementy, które należy szczególnie brać pod uwagę tworząc procedury i dokumentację związaną z RODO.
Według statystyk, europejskie organy nadzorcze nałożyły łącznie 907 kar na łączną kwotę 1.544.575.254,00 euro*. Najwyższa jak do tej pory kara wyniosła 746.000.000,00 euro i został nałożona przez Luxemburski organ nadzorczy na spółkę Amazon Europe Core.
Na branżę HORECA w całej Unii Europejskiej nałożono łącznie kilkadziesiąt kar w wysokości od 1.000,00 do 20.450.000,00 euro.
Jedna z pierwszych kar w wysokości 15.000,00 euro została nałożona przez rumuński organ na Hotel World Trade Center Bucharest SA za to, że w sali restauracyjnej przy wejściu widoczna była lista śniadaniowa gości hotelowych (lista około 46 gości).
Austriacki, norweski, włoski, hiszpański i niemieckie organy nadzorcze nałożyły kilkadziesiąt kar za nieprawidłowe przetwarzanie danych z monitoringu wizyjnego. Kary nałożone zostały miedzy innymi za brak prawidłowej informacji o monitoringu, zbyt duży obszar objęty monitoringiem obejmujący publiczną przestrzeń poza obszarem należącym do hotelu lub restauracji, zbyt długi okres przechowywania nagrań (14 dni), oraz bezpodstawne upublicznienie nagrań w mediach społecznościowych. Kary w tych wypadkach wyniosły od 1.000,00 do 19.900,00 euro.
Ważną z perspektywy hotelarzy jest kara w wysokości 147.800,00 euro nałożona przez duński organ nadzorczy na Arp Hansen Hotel Group A/S za zbyt długi okres przechowywania danych osobowych w systemach IT bez żadnej podstawy prawnej. Zwracam na to szczególną uwagę, ponieważ czas retencji (przechowywania) danych gości hotelowych nie powinien przekroczyć 6 lat od ostatniej wizyty gościa w hotelu.
Podczas moich wdrożeń RODO w hotelach przyjmuję 6 letni okres retencji (czas przechowywania danych), ze względu na czas przedawnienia wynikający z dokumentów sprzedaży, oraz okresu przedawnienia ewentualnych roszczeń wynikający z Kodeksu Cywilnego.
Niestety większość używanych w Polsce PMS-ów nie potrafi poprawnie zanonimizować** danych gości, które są starsze niż wskazany powyżej okres. Dane powinny zostać zanonimizowane w taki sposób, aby nie pozbawić ważnych z punktu widzenia biznesowego hotelu danych statystycznych (informacji o obłożeniu, obrotach, przychodach w wybranych okresach archiwalnych).
Druga lokata w niechlubnym rankingu kar przypadła Booking.com i została nałożona przez holenderski organ nadzorczy za to, że w grudniu 2018 roku nie zgłosił, że hakerzy uzyskali dostęp do danych 4109 osób, które dokonały rezerwacji za pomocą portalu. Uzyskano dostęp do danych adresowych, oraz w przypadku 283 osób do ich numerów kart kredytowych, w tym do 97 numerów kodu zabezpieczającego (CVV,CSV). Ponadto przestępcy podszywając się za pracowników Booking.com, kontaktując się mailowo lub telefonicznie próbowali wyłudzić kolejne informacje dotyczące kart kredytowych. Booking.com stwierdził naruszenie 13 stycznia 2019, ale powiadomił holenderski organ nadzorczy dopiero 7 lutego. Nie wywiązał się więc z obowiązującego na zgłoszenie terminu 72 godzin (RODO Art. 33) i powiadomił organ dopiero po 22 dniach. Kara w tym wypadku wyniosła 475.000,00 euro.
Listę kar w branży HORECA otwiera Marriott International Inc z karą w wysokości 20.450.000,00 euro. Kara jest „tylko” w tej wysokości, ponieważ jak podkreślił brytyjski organ nadzorczy, Marriott ściśle współpracował podczas prowadzonego dochodzenia, powiadomił osoby, których dane dotyczą, oraz wcześniej nie miał żadnych uchybień w tym zakresie.
Kara została nałożona za wyciek danych 339 mln gości, z czego blisko 30 mln pochodziło z Europy. Do wycieku doszło w sieci Hoteli Starwood prawdopodobnie w 2014 roku, ale wyciek odkryto dopiero w 2018 roku. Marriott Inc nie dochował należytej staranności przy zakupie Starwood w 2016 roku, ani nie zaktualizował systemów bezpieczeństwa.
W Polsce ilość kar nałożonych na branżę HORECA jest znikoma, ale nie wynika to z braku uchybień ze strony hotelarzy, ale z niewielkiej ilości kontrolerów i skarg skierowanych do UODO.
W 2020 roku w czasie pierwszego lockdown-u z powodu COVID 19, w jednym z uzdrowisk doszło w pewnej spółce do zaszyfrowania baz danych i problemu z dostępnością do danych. Wynikało to z używania przestarzałego oprogramowania systemowego. Zainstalowane na komputerach oprogramowanie Microsoft Windows XP od dawna nie jest wspierane i zawiera luki bezpieczeństwa, które zostały wykorzystane przez hakerów.
W wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, Spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych. W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy nie prowadził swojej działalności.
Nie stwierdzono również, aby dane zostały wytransferowane poza obszar organizacji, Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę tylko upomnienie.
Pełna treść informacji dostępna jest pod linkiem https://uodo.gov.pl/pl/138/1896.
Inny incydent który również nie zakończył się karą ze strony UODO miał miejsce w jednym ze współpracujących ze mną hoteli. W przededniu balu Sylwestrowego pracownik działu recepcji wysyłając do wszystkich gości maile z szczegółową informacją o imprezie, wysłał ją w jednym mailu nie korzystając z funkcji UDW (ukryj do wiadomości), tylko DW ujawniając tym samym wszystkim adresatom adresy mailowe pozostałych gości. Ponieważ jeden z gości był bardzo mocno oburzony tym faktem i wskazywał to jako incydent bezpieczeństwa, została przeprowadzona analiza ryzyka i został powiadomiony organ nadzorczy. PUODO mimo otrzymanego zgłoszenia nie podjął w tej sprawie żadnych dalszych kroków.
Inne kary nałożone przez polski organ nadzorczy, na które chciałbym zwrócić szczególną uwagę hotelarzom.
Dla czytelników podany przeze mnie powyżej przykład może wydać się błahy. Nic bardziej mylnego!
UODO kładzie duży nacisk na maile zawierające dane osobowe które trafiają w niewłaściwe ręce. I tak Towarzystwo Ubezpieczeń WARTA S.A. zostało ukarane karą w wysokości 85.588,00 zł za przesłanie przez jej pracownika maila zawierającego ofertę ubezpieczenia dla klienta na nie należący do niego adres mailowy. Adres ten należał do innej osoby. Za podobne przewinienie Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. w wysokości prawie 159.176,00 zł (w tym również za niezgłoszenie naruszenia ochrony danych osobowych). Na spółkę ENEA S.A. została nałożona kara w wysokości 136.437,00zł za przesłanie mailem danych kilkuset osób na niewłaściwy adres mailowy. Piszę o tym, ponieważ większości z nas zdarzyło się w przeszłości wysłać przypadkowo mail do niewłaściwego adresata, lub też otrzymać niezamawianą korespondencję. Tych wszystkich kar można było uniknąć szyfrując informacje przesyłane mailem i przesyłając hasło do pliku innym kanałem komunikacyjnym (np.sms-em). Jeśli dla kogoś cały proces szyfrowania i przesyłania hasła sms-em wydaje się uciążliwy, to gorąco polecam program RODOSENDER*** który w prosty i szybki sposób zrobi to wszystko za nas.
Inna kara w wysokości 15.000,00zł związana z wysłaniem maili została nałożona na spółkę East Power. Spółka, mimo że poproszono ją o wykreślenie adresu mailowego z bazy, nadal przesyłała niezamawiane informacje marketingowe. Ukarana spółka zajmuje się na terenie Polski i Niemiec pośrednictwem pracy, a skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych. Skargę złożył w niemieckim organie ochrony danych osobowych właściwym dla Nadrenii-Palatynatu, ale została ona przejęta do rozpoznania przez Prezesa UODO, który był w tej sprawie tzw. organem wiodącym z uwagi na to, że spółka ma siedzibę w Polsce.
Kolejną karą, na którą chciałbym zwrócić uwagę jest kara w wysokości 545.748,00 zł nałożona na Santander Bank, za to że były pracownik Banku posiadał nieuprawniony dostęp do danych zgromadzonych na Platformie Usług Elektronicznych ZUS (PUE ZUS). Osoba ta pięciokrotnie logowała się do platformy PUE ZUS, zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Jednocześnie nie wskazano obszarów, które były przeglądane przez nieuprawnioną osobę, ani do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika Santander Bank Polska S.A. na platformie PUE ZUS. Brak kontroli nad zarządzaniem dostępem do pracowników po zakończeniu jego pracy do różnego rodzaju platform internetowych zawierających dane osobowe to niestety częste zjawisko w branży HORECA.
W tym przypadku należy zwrócić uwagę na jeszcze jeden aspekt. Hotelarze bardzo często korzystają z zewnętrznych biur obsługi kadrowo płacowej (które jest w tym wypadku podmiotem przetwarzającym) i kompletnie nie kontrolują ich stanu wdrożenia RODO.
Zapewne mógłbym wymieniać jeszcze długo różne kary, które zostały nałożone przez PUODO, jednak wolałbym w tym miejscu skłonić hotelarzy do minimalizowania ryzyka poprzez okresowe przeprowadzanie kontroli stanu wdrożenia RODO. Należy również pamiętać, że audyty powinny być przeprowadzane nie tylko we własnym przedsiębiorstwie, ale również w podmiotach przetwarzających działających na zlecenie administratorów.
Mam nadzieję że przytoczone w artykule nałożone kary przez organy nadzorcze będą pomocne dla hotelarzy i pozwolą im lepiej zweryfikować wdrożone przez nich rozwiązania. Decyzje te są o tyle cenne, że pokazują jak w praktyce organy nadzorcze podchodzą do wybranych obszarów ochrony danych.
Autor: Maciej Kopeć
Specjalista z zakresu ochrony danych osobowych w hotelach
*dane pochodzą z 8 lutego 2022 roku i zostały opublikowane na stronie
https://www.privacyaffairs.com/gdpr-fines/
** Anonimizacja danych – czynność polegająca na przekształceniu danych osobowych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej albo, jeżeli przyporządkowanie takie wymagałoby niewspółmiernych kosztów, czasu lub działań.
***RODOSENDER – więcej informacji o tym programie znajdą Państwo w moim innym artykule na stronie www.odowhotelu.pl
Informacje dotyczące wybranych decyzji PUODO pochodzą ze strony www.uodo.gov.pl