Współpraca z organem nie pomogła
Podstawą nałożenia kary finansowej na spółkę było naruszenie art. 32 RODO. Zgodnie z jego treścią, każdy administrator danych oraz podmiot przetwarzający mają obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Osoby dzwoniące do 1&1 Telecom GmbH miały możliwość, bez przejścia rzeczywistego procesu uwierzytelniającego, uzyskiwania obszernych informacji dotyczących użytkowników a zawartych w umowie z operatorem (wystarczyło podać imię i datę urodzenia użytkownika). Na uwagi strony BfDI, dotyczące przetwarzania danych osobowych, firma zareagowała podjęciem zdecydowanych działań mających na celu podniesienie poziomu bezpieczeństwa np. poprzez wprowadzenie nowej procedury uwierzytelniania oraz zabezpieczenie samego procesu. Ponadto wykazała się ona transparentnością oraz zadeklarowała współprace z organem. Nie wpłynęło to jednak na decyzję urzędu o nałożeniu grzywny, gdyż, jak argumentowano, naruszenie stanowiło zagrożenie dla całej bazy danych klientów.
Ukarana firma będzie się bronić
Dr Julia Zirfas, pełniąca funkcję inspektora ochrony danych w 1&1 Telecom GmbH podważa proporcjonalność wymierzonej grzywny. Jak twierdzi, bezpieczeństwo danych milionów klientów stanowi dla firmy priorytet, a kara finansowa została obliczona na podstawie skonsolidowanej kwoty rocznej sprzedaży. Dr Zirfas podkreśla również, że uzależnianie wysokości grzywny od wysokości obrotu nie ma podstaw w RODO i jest sprzeczne z zasadą równego traktowania oraz proporcjonalności. Prowadzi to do sytuacji, gdzie nawet najmniejsze naruszenie może doprowadzić do gigantycznych sankcji.
Ochrona danych to ochrona praw podstawowych
1&1 Telecom GmbH nie jest jedyną firmą telekomunikacyjną ukaraną przez urząd. Za brak dopełnienia wynikających z RODO obowiązków zapłaci również Rapidata GmbH, która pomimo ustawowego wymogu nie powołała Inspektora Ochrony Danych. W tym wypadku kara wyniosła jednak 10.000 euro. Urlich Kelber, pełniący funkcję komisarza federalnego podkreślił wyraźnie, jak duże znaczenie ma ochrona danych osobowych. Nałożone grzywny mają w dużym stopniu przyczynić się do podniesienia poziomu bezpieczeństwa danych oraz wyegzekwować przestrzeganie praw podstawowych.
Źródła: portal gdpr.pl
- https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html
- https://newsroom.1und1.de/2019/12/09/11-klagt-gegen-bussgeldbescheid-der-datenschutzbehoerde/