Są pierwsze kary za naruszenia RODO

Wejście w życie RODO witano z obawami. Zdawało się, iż wszyscy oczekują, że już pierwszego dnia obowiązywania rozporządzenia posypią się kary za nieprzestrzeganie przepisów. Aby pociąg zwany RODO nabrał pędu, należało jednak poczekać przynajmniej kilka miesięcy. I wszystko wskazuje na to, że nadal dopiero się on rozpędza.

Instytucje odpowiedzialne za ochronę danych osobowych sugerowały, że w pierwszym okresie obowiązywania RODO firmy będą karane finansowo tylko za najbardziej rażące naruszenia ochrony danych. To podejście ma jednak ewoluować. Gdy więc opada gorączka wdrożenia, rośnie ryzyko kar. Przyjrzyjmy się kilku europejskim przykładom.

Gdy opada gorączka wdrożenia, rośnie ryzyko kar.

Szpital: zbyt szerokie uprawnienia w wewnętrznym systemie

Najwyższą dotychczas nałożoną karą za naruszenie przepisów o ochronie danych osobowych jest kara w wysokości 400 tysięcy euro, nałożona na jeden z portugalskich szpitali. Organ nadzorujący uznał, że zbyt wielu użytkowników miało dostęp do danych pacjentów w szpitalnym systemie informatycznym. Przypomnijmy, że maksymalna kara mogła wynieść aż 20 mln euro.

Wyciek danych czatu i brak szyfrowania haseł

W Niemczech we wrześniu 2018 wyciekły dane 330 tys. użytkowników serwisu czatowego. Dostawca zgłosił w powiadomieniu o naruszeniu, że hasła użytkowników były przechowywane w niezaszyfrowanej formie. Urząd odpowiedzialny za ochronę danych osobowych w Badenii‑Wirtembergii nałożył na niego karę w wysokości 20 tys. euro, przy czym pełna współpraca z organem nadzorczym znacząco obniżyła tu karę, jaka groziła właścicielowi serwisu.

Źle zainstalowany monitoring

Austriacki przedsiębiorca zainstalował monitoring przed swoją siedzibą. Ponieważ jednak kamery były ustawione w taki sposób, że obejmowały część publicznego chodnika, władze postanowiły nałożyć na właściciela firmy karę w wysokości 4 800 euro (po uwzględnieniu dochodu przedsiębiorstwa). Uznały, że nagrywanie osób w przestrzeni publicznej jest nieuzasadnione z punktu jakiegokolwiek prawnie uzasadnionego interesu firmy. Dodatkowo monitoring nie był odpowiednio oznakowany.

Geolokalizacja: brak zgód

We Francji instytucja odpowiedzialna za ochronę danych osobowych, Commission Nationale de l’Informatique et des Libertés (CNIL), wystosowała szereg ostrzeżeń wobec firm świadczących usługi reklamowe na podstawie geolokalizacji. Wytknęła im brak odpowiednich zgód na przetwarzanie danych. Te z firm, które nie wprowadzą zalecanych zmian w swoich systemach, mogą spodziewać się dotkliwych kar.

Sklep internetowy: wyciek danych wrażliwych

O tym, że francuski urząd traktuje kwestię kar poważnie, mógł przekonać się już w lipcu 2018 r. francuski sklep internetowy Optical Center, na który – jako pierwszy w Europie – została nałożona kara administracyjna za brak właściwej ochrony danych osobowych klientów (w tym tzw. danych wrażliwych). Wyniosła ona, bagatela, 250 tys. euro.

Postępowania w toku

W Polsce dotychczas nie nałożono na administratorów kar finansowych. Prezes Urzędu Ochrony Danych Osobowych nie pozostawia jednak złudzeń – toczy się wiele postępowań w tym obszarze. W liście podsumowującym pierwsze półrocze od wprowadzenia RODO pisze, że „Polacy są coraz bardziej świadomi i głodni wiedzy na temat ochrony danych osobowych (…). Korzystają też z prawa wniesienia skargi do Prezesa UODO”. Część z wnoszonych skarg zapewne zakończy się nałożeniem kar. UODO przypomniał także osobom prywatnym, że jeśli poniosły szkodę w wyniku naruszenia przepisów o ochronie danych osobowych, mogą dochodzić przed sądem odszkodowania od administratora danych.

Liczy się ciągłość działań

Wdrożone systemy nigdy nie zapewnią całkowitego bezpieczeństwa danych, dopóki najsłabszym ogniwem w ochronie informacji pozostaje człowiek. W ochronie danych najgroźniejsze są momenty, w których to pracownik administratora popada w rutynę, usypia czujność czy ulega pokusie pójścia na skróty. Nauczyliśmy, że w tematach takich jak bezpieczeństwo i higiena pracy jednokrotne przeszkolenie nie wystarcza, by zapobiec incydentom – zdobytą wiedzę trzeba bowiem regularnie odświeżać. Praktyka pokazuje, że tę samą zasadę powinniśmy przyjąć w odniesieniu do ochrony danych osobowych.

Nauczyliśmy, że w tematach takich jak bezpieczeństwo i higiena pracy jednokrotne przeszkolenie nie wystarcza, by zapobiec incydentom – zdobytą wiedzę trzeba bowiem regularnie odświeżać. Praktyka pokazuje, że tę samą zasadę powinniśmy przyjąć w odniesieniu do ochrony danych osobowych.

Jak podkreśla Prezes UODO, musimy pamiętać, że „zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie”.

Warto przypomnieć, że zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie.

– Edyta Bielak-Jomaa, Prezes UODO

Zostaw odpowiedź

Twoj adres e-mail nie bedzie opublikowany.