Geen risicobeoordeling na datalek – schending verantwoordingsbeginsel
De Poolse Gegevensbeschermingsautoriteit (PUODO) heeft een boete van € 2.640 opgelegd aan een verwerkingsverantwoordelijke voor het niet op de hoogte stellen van betrokkenen van een inbreuk en voor het niet binnen de termijn van 72 uur op de hoogte stellen van de gegevensbeschermingsautoriteit, in strijd met de artikelen 33 en 34 van de AVG. Bovendien heeft de verwerkingsverantwoordelijke verantwoordingsbeginsel geschonden, omdat hij niet in staat was om naleving aan te tonen.
De feiten
In mei 2022 werd de verwerkingsverantwoordelijke, een lokale ondernemer, het slachtoffer van een datalek. Een bestand met de persoonsgegevens van haar cliënten werd van haar computer gestolen. De gestolen gegevens omvatten namen, thuis- en e-mailadressen, telefoonnummers en nationale identificatienummers van de betrokkenen.
De verwerkingsverantwoordelijke informeerde de PUODO over dit incident, maar gaf geen details over de vraag of de betrokkenen op de hoogte waren gesteld van het datalek of dat er als gevolg daarvan een risico voor hun rechten en vrijheden bestond. Bovendien heeft de verwerkingsverantwoordelijke na de in artikel 33 lid 1 AVG voorgeschreven termijn van 72 uur contact opgenomen met de PUODO. De PUODO vroeg om opheldering, maar kreeg geen antwoord.
Daarom is de PUODO in september 2022 ambtshalve een onderzoek gestart naar de manier waarop de verwerkingsverantwoordelijke omgaat met het datalek.
Beoordeling
De PUODO oordeelde dat de voor de verwerking verantwoordelijke in strijd was met artikel 33 lid 1 AVG, artikel 33 lid 3 AVG, artikel 34 lid 1 en lid 2 AVG en artikel 5 lid 2 AVG.
Ten eerste oordeelde de PUODO dat de verwerkingsverantwoordelijke artikel 33 lid 1 AVG had geschonden omdat hij de gegevensbeschermingsautoriteit niet binnen de termijn van 72 uur op de hoogte had gesteld van de inbreuk. De voor de verwerking verantwoordelijke had ook artikel 33 lid 3 AVG geschonden omdat de kennisgeving niet alle door de bepaling vereiste informatie bevatte.
Ten tweede stelde de AP vast dat de verwerkingsverantwoordelijke niet had beoordeeld of er een risico was voor de rechten en vrijheden van betrokkenen als gevolg van het datalek. Bovendien heeft de verwerkingsverantwoordelijke de betrokkenen niet op de hoogte gebracht van het datalek. De PUODO merkte op dat in dit verband de beoordeling van het risico op grond van artikel 34 van de AVG moet worden gemaakt door de ogen van de betrokkene in plaats van de belangen van de verwerkingsverantwoordelijke, aangezien betrokkenen voldoende moeten worden geïnformeerd om hun eigen beoordeling te maken of een datalek waarschijnlijk negatieve gevolgen zal hebben en te beslissen of zij de passende corrigerende maatregelen nemen. Rekening houdend met de aard van de gestolen persoonsgegevens, concludeerde de PUODO dat er inderdaad een risico was voor de rechten en vrijheden van betrokkenen. Daarom hadden zij zonder onnodige vertraging op de hoogte moeten worden gesteld van het datalek. Door niet aan deze verplichting te voldoen, heeft de verwerkingsverantwoordelijke artikel 34 lid 1 en lid 2 AVG geschonden.
Ten derde merkte de PUODO op dat de verwerkingsverantwoordelijke niet had geantwoord op de verzoeken om opheldering en niet had aangetoond dat hij een risicobeoordeling had uitgevoerd naar aanleiding van het datalek. Daarom heeft de AP een schending van het verantwoordingsbeginsel (artikel 5 lid 2 AVG) vastgesteld.
Besluit
Als gevolg hiervan heeft de PUODO de verwerkingsverantwoordelijke een boete van € 2.640 opgelegd voor de schendingen van artikel 33 lid 1 AVG, artikel 33 lid 3 AVG, artikel 34 lid 1 en lid 2 AVG en artikel 5 lid 2 AVG. Bovendien heeft de PUODO, in overeenstemming met artikel 34 lid 4 en artikel 58 lid 1 onder a) AVG, de verwerkingsverantwoordelijke bevolen om de betrokkenen binnen 3 dagen na de datum van het besluit van de PUODO naar behoren in kennis te stellen van het datalek.
Machinevertaling
Bron: UODO (Polen) - DKN.5131.43.2022 - GDPRhub