Pierwsze kary po wejściu w życie RODO

Z badań przeprowadzonych przez Dziennik Gazeta Prawna oraz wydawnictwo Infor wynika, że połowa polskich firm nie uporała się jeszcze z wdrożeniem RODO, a liczba skarg na naruszenia zasad ochrony danych osobowych wciąż rośnie.

Jeszcze przed wejściem w życie prawa dotyczącego ochrony danych RODO, mówiło się o nim przede wszystkim w kontekście potencjalnych kar. Okazuje się, że słusznie, bowiem przez pół roku od wejścia w życie unijnego rozporządzenia nałożono już wiele grzywien o zróżnicowanej wysokości, choć warto też zwrócić uwagę, że żadna nie zbliżyła się jeszcze do maksymalnej granicy sankcji. Przede wszystkim warto jednak zwrócić uwagę na samą wysokość nałożonych kar i pokusić się o pierwsze wnioski w tym zakresie.

Przypominamy, że najwyższa kara pieniężna przewidziana przez rozporządzenie RODO to 20 milionów euro lub maksymalnie 4% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku naruszenia m.in. podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, naruszenia praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim czy nieprzestrzeganie nakazu ograniczenia przetwarzania. Drugi obowiązujący próg to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku m.in. niedopełnienia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego czy podmiotu monitorującego.

I tak na przykład jedna z pierwszych kar w wysokości 250.000 euro została nałożona we Francji przez francuski odpowiednik naszego Urzędu Ochrony Danych Osobowych na sklep Optical Center zajmujący się sprzedażą okularów przeciwsłonecznych. Kara była skutkiem kontroli, która wykazała brak odpowiednich zabezpieczeń strony internetowej, na skutek czego dane klientów sklepu, takie jak imię, nazwisko, miejsce zamieszkania, numer ubezpieczenia społecznego, czy nawet informacje dotyczące stanu zdrowia, były dostępne dla każdego użytkownika przeglądarki internetowej znającego właściwy adres. Naruszenie było istotne, choć wina miała postać nieumyślną i była pochodną niedbalstwa przy ustawianiu filtrów dostępu. W tym przypadku kara zbliżyła się do maksymalnej granicy wynikającej z wartości rocznego obrotu przedsiębiorstwa.

Z kolei w Austrii na podmiot prywatny nałożona została kara w wysokości 4.000 euro za objęcie monitoringiem wizyjnym zbyt szerokiego obszaru chodnika, w związku z czym dochodziło do przetwarzania danych nieświadomych przechodniów. Sankcja została nałożona proporcjonalnie do dochodów firmy. Także tu winny był lekkomyślny pracownik, który zapomniał, że wizerunek mieści się w katalogu chronionych danych osobowych.

Dużo bardziej dotkliwa kara dotknęła Centrum Szpitalne Barreiro-Montijo w Portugalii. Po przeprowadzonej kontroli przez portugalski organ nadzorczy zajmujący się ochroną danych osobowych, nałożona została kara opiewająca na 400.000 euro. Stwierdzone nieprawidłowości dotyczyły dostępu do systemu zarządzania danymi medycznymi pacjentów. Szpital nie posiadał żadnych wewnętrznych uregulowań dotyczących zasad tworzenia kont ani rozdzielenia dostępu do danych medycznych dla poszczególnych grup pracowników. Nie podjęto też odpowiednich środków do zapewnienia trwałego usunięcia kont lekarzy, którzy zakończyli pracę w placówce, nie kontrolowano także dostępu do danych medycznych. Niewątpliwie, skala oraz długotrwałość naruszeń wpłynęła na wysokość sankcji.

Z kolei zdecydowanie „upiekło się” niemieckiemu serwisowi randkowemu Knuddels, który stał się ofiarą ataku hakerskiego, na skutek którego doszło do ujawnienia kilkuset tysięcy adresów mailowych, dwóch milionów pseudonimów użytkowników, a także szeregu adresów zamieszkania oraz prawdziwych imion i nazwisk wielu z zarejestrowanych użytkowników portalu. Jak się okazało, dane te miały bardzo niski poziom zabezpieczeń elektronicznych, co pozwoliło hakerom na nieuprawniony dostęp i ich łatwe pozyskanie. Szybka reakcja administratora danych oraz sprawna współpraca z właściwym organem ochrony danych Badenii-Wirtembergii skutkowały jednak nałożeniem kary w wymiarze zaledwie 20.000 euro, co wobec skali zdarzenia zadziwiło zainteresowanych tematem i odbiło się echem po całej Europie.

Powyższe przykłady, a zwłaszcza ostatni z nich, doskonale pokazują jak szeroki i elastyczny jest system kar przewidziany przez unijne rozporządzenie w sprawie RODO, a także jak istotna jest współpraca z odpowiednimi organami kontrolnymi. Niezależnie od samego wdrożenia prawidłowych zasad ochrony danych osobowych, niezmiernie ważna jest szybkość, adekwatność i skuteczność działań administratora danych w przypadku stwierdzenia naruszeń, przejrzysta i lojalna współpraca z organem nadzorczym, zapobieżenie skutkom w jak największym zakresie, niezwłoczne poinformowanie zainteresowanych i pokrzywdzonych, a także reakcja w zakresie podniesienia poziomu lub przywrócenia zabezpieczeń.