W ostatnim czasie w prasie pojawiła się znacząca liczba doniesień o rekordowych karach za naruszenia RODO.
Jakich działań należy się wystrzegać, aby uniknąć otrzymania podobnej kary?
Jak powszechnie wiadomo naruszenia RODO mogą skutkować surowymi karami. Nie każdy ma jednak świadomość, że rozporządzenie określa dwie kategorie naruszeń, zagrożone różną wysokością kary pieniężnej. Katalog naruszeń przepisów rozporządzenia jest określony i obejmuje m.in. naruszenia obowiązków administratora i podmiotu przetwarzającego, naruszeń warunków zgody, praw osób, których dane dotyczą i innych.
Niezależnie od typu naruszenia, maksymalna wysokość potencjalnej kary stanowi procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w zależności od kategorii naruszenia, dwa lub cztery procent). Nie może to być jednak mniej niż kwota wprost określona w rozporządzeniu (odpowiednio do 20 lub 10 milionów EUR).
Od wejścia w życie rozporządzenia, tylko pięć razy nałożono kary za naruszenia RODO przekraczające 20 milionów euro. Na początku października taka kara została nałożona na jedną z niemieckich spółek. Powodem ukarania spółki w tak dotkliwy sposób była zbyt znacząca ingerencja podmiotu, jako pracodawcy w dane pracowników, obejmujące także dane dotyczące ich życia prywatnego.
W toku postępowania ustalono, że co najmniej od 2014 roku część pracowników spółki była poddawana szczegółowej obserwacji, której wnioski były zachowywane w formie notatek na dysku sieciowym. W spółce przeprowadzano tzw. rozmowy powitalne z pracownikami wracającymi po nieobecności, których celem było uzyskanie szczegółowych informacji na temat powodów nieobecności. Ponadto, niektórzy przełożeni zdobywali wiedzę na temat życia prywatnego pracowników, którą utrwalali w formie elektronicznej notatki na dysku sieciowym. Informacje pozyskane w ten sposób były wykorzystywane w celu oceny wydajności pracowników oraz tworzenia ich profilu, wykorzystywanego także do podejmowania decyzji dotyczących zatrudnienia. Sprawa ujrzała światło dzienne z powodu błędu w konfiguracji systemu informatycznego, który sprawił, że te dane stały się dostępne dla wszystkich pracowników spółki.
Innym przypadkiem naruszenia RODO, w którym nałożono bardzo dotkliwą karę była spółka z branży transportowej, która została ukarana za incydent cybernetyczny. Incydent polegał na tym, że użytkownicy byli przekierowywani za pośrednictwem oryginalnej strony spółki na fałszywą stronę internetową. W efekcie zastosowania błędnych rozwiązań dotyczących bezpieczeństwa w spółce, przestępcy mogli wejść w posiadanie danych klientów obejmujące m.in. dane kart płatniczych. Kara wielokrotnie przewyższała 20 milionów euro.
Znaczącą karę nałożono także na spółkę z branży usługowej. Sytuacja także dotyczyła incydentu cybernetycznego, w którego następstwie ujawnionych zostało szereg danych osobowych klientów spółki. Uznano, że luka w zabezpieczeniach pojawiła się w efekcie zainfekowania systemu informatycznego spółki, która następnie została przejęta przez ukarany podmiot. Dochodzenie w tej sprawie wykazało, że podmiot nie dochował należytej staranności po przejęciu i powinien w lepszy sposób zabezpieczyć swoje systemy informatyczne.
Jedna z pierwszych skarg złożonych po wejściu przepisów RODO w życie dotyczyła spółki z branży internetowej. Przedmiotem skargi było automatyczne tworzenie konta użytkownika w zasobach spółki w momencie konfiguracji telefonu komórkowego posiadającego określony system operacyjny. Za brak przejrzystości, niewystarczające informacje i brak podstawy prawnej, nałożono na nią dotkliwą karę.
Innym przypadkiem nałożenia kary pieniężnej, której wartość przekroczyła 20 milionów euro jest firma telekomunikacyjna z jednego z krajów Unii Europejskiej. Karę nałożono za brak zgody na działania marketingowe (telemarketing), nieprawidłowe zgody zbierane w aplikacjach dostarczanych przez spółkę, brak odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych oraz brak jasnych okresów przechowywania danych. Oprócz kary pieniężnej, na spółkę nałożono zobowiązanie wprowadzenia wielu środków naprawczych oraz zabroniono wykorzystywania danych osobowych do celów marketingowych od osób, które odmówiły otrzymywania połączeń promocyjnych z centrów obsługi telefonicznej.
W Polsce do tej pory Urząd Ochrony Danych Osobowych nie nałożył aż tak dotkliwych kar pieniężnych za naruszenia RODO. Najwyższą karą ukarano spółkę za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych znacznej ilości użytkowników. Wartość kary pozostawała znacząco poniżej 10 milionów euro.
Jakie wnioski można wyciągnąć z powyższego? Katalog potencjalnych ryzyk jest szeroki. Ryzyko otrzymania kary pieniężnej w związku z naruszeniem przepisów RODO może być spowodowane wieloma czynnościami oraz zaniechaniami spółki.
Z całą pewności należy znacząco zwiększyć wysiłki w zakresie bezpieczeństwa informatycznego oraz w zakresie obowiązków informacyjnych wprost wynikających z przepisów rozporządzenia.
Zobacz również
Wstecz
