Kolejna kara za naruszenie RODO

W ubiegłym roku wiosna była dla nas intensywnym okresem. Wtedy to wdrażaliśmy u naszych klientów tzw. RODO.

Przypominamy, że „RODO”, to rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych – zastępuje dyrektywę 95/46/WE z 1995 r.

 

RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej, bez znaczenia w jakiej formie prawnej (może to być spółka, jednoosobowa działalność gospodarcza, oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią).

Obowiązywanie RODO nie jest uzależnione od tego, gdzie następuje przetwarzanie danych osobowych (gdzie znajdują się serwery), nie ma także znaczenia narodowość osób, których dane osobowe są przetwarzane.

 

Warto jednak pamiętać, że RODO dotyczy przetwarzania danych osobowych tylko osób fizycznych.

 

RODO stosuje się do przetwarzania danych osobowych, tj. operacji wykonywanych na danych osobowych, takich jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

 

Wprowadzenie RODO zmieniło podejście do ochrony danych osobowych, wprowadziło bowiem tzw. podejście oparte na ryzyku.

Polega ono na tym, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć.

Dobór środków zabezpieczenia powinien być oparty o:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrażania.

Każdy podmiot przetwarzający dane osobowe powinien:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
  • określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

 

RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku.

Są nimi w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

W związku z naruszeniem RODO Prezes UODO (Urzędu Ochrony Danych Osobowych) jest uprawniony do nakładania kar finansowych na podmioty przetwarzające dane osobowe. Kary mogą być nakładane w wysokości do 10 000 000 EURO lub 2% obrotu ukaranego podmiotu albo do 20 000 000 EURO lub 4% obrotu ukaranego podmiotu, w zależności od tego, jakie konkretnie obowiązki zostaną naruszone. Wysokość kar była od początku obowiązywania tego aktu prawnego wysoce kontrowersyjna.

 

Kilka miesięcy temu polskie media poinformowały, że zapadła pierwsza decyzja – wydana 15 marca 2019 r., o nałożeniu bardzo dużej kary (1 milion złotych) za naruszenie przepisów o ochronie danych osobowych. UODO ukarał pewną firmę za to, że pozyskała z ogólnodostępnej bazy informacje o przedsiębiorcach, ale tylko część z nich poinformowała o tym, że przetwarza ich dane osobowe.

 

W maju 2019 r. UODO nałożył drugą karę na podstawie RODO. Tym razem kwota kary była zdecydowanie niższa, aniżeli w pierwszym przypadku, bo wyniosła 55 750,50 zł. Ukarany został jeden ze związków piłkarskich, który udostępnił na swojej stronie imiona i nazwiska, ale także dokładne adresy oraz numery PESEL kilkuset osób, które zdobyły licencje sędziowskie. Okolicznością łagodzącą w tym przypadku był fakt, że związek z własnej inicjatywy w lipcu 2018 r. poinformował prezesa UODO o fakcie udostępnienia danych, a także zawiadomił o swym błędzie wszystkich zainteresowanych. Równocześnie podjęto działania, mające na celu naprawienie błędu. Okazały się jednak nieskuteczne.

Zgodnie z oświadczeniem UODO, powodem nałożenia na związek kary finansowej za naruszenie przepisów RODO były nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych.

 

Pomimo, że temat RODO nie jest już „na topie problemów” prawnych trapiących polskich przedsiębiorców, warto jest pamiętać o obowiązkach w zakresie ochrony danych osobowych i konsultować się z prawnikami, celem uniknięcia popełnienia ewentualnych błędów. W szczególności, że w pierwszym półroczu obowiązywania rozporządzenia do UODO  zgłoszono blisko 4 tysiące skarg, często jednak zawierających błędy formalne.

 

Źródło: https://uodo.gov.pl/pl/138/990