Powrót do wszystkich artykułówOgólne rozporządzenie o ochronie danych – RODO jest stosowane w całej Unii Europejskiej od 25 maja 2018 roku. Wraz z upływem pierwszych miesięcy obowiązywania Rozporządzenia, nastroje wśród administratorów danych osobowych zaczęły się stopniowo uspokajać a regulacje, które początkowo budziły wiele wątpliwości, stają się powoli dla podmiotów zobowiązanych do stosowania RODO codziennością. Na chwilę obecną pytania kierowane do nas przez Klientów coraz częściej dotyczą nie tylko aspektów praktycznych związanych ze stosowaniem nowych przepisów o ochronie danych osobowych, ale również kar, jakie dotychczas zostały nałożone na administratorów w związku z naruszeniem przepisów RODO. Żeby rozwiać wszelkie wątpliwości w tym zakresie postanowiliśmy przeanalizować bilans pierwszych miesięcy obowiązywania Rozporządzenia. Wyniki przeprowadzonej przez nas analizy znajdują się poniżej.
Przegląd pierwszych kar nałożonych od wejścia w życie RODO
Austria
Pierwsza kara w związku z naruszeniem przepisów RODO nałożona została w kwocie 4.800 € na austriackiego przedsiębiorcę przez organ nadzorczy Datenschutzbehörde. Sprawa dotyczyła monitoringu. Przedsiębiorca zainstalował kamerę przed budynkiem swojej firmy, która swym zasięgiem obejmowała dużą część chodnika. Austriacki organ uznał to za kontrolę przestrzeni publicznej. Ponadto kamera nie została oznaczona jako nagrywająca obraz. Okazuje się, że kwestia informowania o stosowanym monitoringu oraz obszarze, który może zostać nim objęty jest punktem newralgicznym dla dopuszczalności jego stosowania.
Z doświadczenia kancelarii przy wdrażaniu RODO wynika, iż wielu przedsiębiorców nie zdaje sobie sprawy z ograniczeń oraz obowiązków nakładanych przez RODO na administratorów stosujących monitoring.
Portugalia
Jedna z najwyższych kar nałożona została przez portugalski organ ochrony danych (Comissão Nacional de Protecção de Dados). Wynosiła ona 400.000 € i została nałożona na Centrum Szpitalne Barreiro – Montijo. Powodem było złamanie zasad integralności, poufności i minimalizacji danych. W systemie zarządzania danymi medycznymi pacjentów wykryto trzykrotnie więcej aktywnych kont, niż było zatrudnionych lekarzy. Placówce postawiono dwa zarzuty: po pierwsze niezachowanie należytej staranności w celu zabezpieczenia danych, po drugie zastosowanie nieodpowiednich metod uwierzytelniania. CNPD obarczyło szpital odpowiedzialnością za naruszenie poziomów dostępu do danych pacjentów poprzez świadome powiązanie profilu lekarza z profilem, który powinien być profilem czysto technicznym.
Niemcy
We wrześniu niemiecki portal randkowy Knuddels.de padł ofiarą hackerów, którzy wykradli dane dostępowe do blisko dwóch milionów kont zarejestrowanych użytkowników. Chodziło dokładnie o 808 000 adresów e-mail oraz 1 872 000 loginów i haseł. Dane nie były odpowiednio zaszyfrowane i w bardzo prosty sposób można je było wyciągnąć z serwerów serwisu. Nałożona kara była kuriozalnie niska, w porównaniu do ilości ujawnionych danych osobowych – wyniosła zaledwie 20.000 €. Powodem tak niskiego wymiaru kary było szybkie oraz kompleksowe zgłoszenie naruszenia ochrony danych przez niemiecki portal randkowy. Pomimo nałożonej kary organ nadzorujący pochwalił serwis za wzorcowo przeprowadzoną procedurę reakcji na incydent, zarówno pod względem kompleksowych informacji i przejrzystości zgłoszenia, jak również pod względem wdrożonych środków technicznych służących poprawie bezpieczeństwa danych.
Francja
Francuski organ zajmujący się ochroną danych osobowych (CNIL) ukarał sklep Optical Center karą
w wysokości 250.000 €. Sklep otrzymał ją za niedochowanie bezpieczeństwa danych osobowych swoich klientów. Chodziło nie tylko o dane personalne, ale także dane finansowe, dotyczące zamieszkania, stanu zdrowia, numeru ubezpieczenia oraz krajowego numeru identyfikacyjnego. Na wysokość kary wpływ miało zachowanie Optical Center jeszcze przed wejściem w życie RODO. Mimo iż sklep został uprzednio ukarany za nienależytą ochronę danych, nie podjęto żadnych kroków, aby należycie zadbać o bezpieczeństwo danych swoich klientów.
Gigantyczna kara dla Google
W dniu 21 stycznia 2019 r. francuski CNIL nałożył na Google LLC gigantyczną karę finansową w kwocie 50 milionów €. Powodem nałożenia tak wysokiej kary były nieprawidłowe zgody na personalizację reklam oraz naruszenie obowiązków informacyjnych przez Google. Jest to pierwsza tak wysoka kara nałożona od początku obowiązywania RODO i istnieje duże prawdopodobieństwo, że nie ostatnia. Okolicznościami, które wpłynęły na ustalanie wysokości kary były m.in. rozmiar podmiotu, który dopuścił się naruszenia, świadomość obowiązków wynikających z RODO, a także reakcja podmiotu na naruszenie ochronnych danych osobowych, tj. podjęcie działań w celu zapobieżenia dalszym skutkom oraz sprawne poinformowanie organu nadzorczego.
Proces cywilny
Na uwagę zasługuje także pierwszy wyrok, który zapadł przed niemieckim sądem w Diez w sprawie roszczenia prywatnego podmiotu ochrony danych osobowych za otrzymanie spam-u. Użytkownik który otrzymał niechcianego maila domagał się 500 € odszkodowania. Sąd tytułem odszkodowania za szkodę niemajątkową przyznał wprawdzie kwotę znacznie niższą od żądanej, bo jedynie 50 €, niemniej jest to precedensowy wyrok i daje punkt odniesienia dla kolejnych tego typu spraw.
Polska
W Polsce, po przeprowadzeniu pierwszych kontroli, UODO nie nałożyło jeszcze żadnych kar za naruszenie ochrony danych osobowych. Należy jednak wziąć pod uwagę, iż jest to dopiero początek obwiązywania RODO w Polsce i z czasem można spodziewać się wzmożonej aktywności organu kontrolnego. Warto zapoznać się z planem kontroli sektorowych zapowiedzianych przez UODO. W tym roku w sektorze prywatnym sprawdzany będzie m.in. telemarketing, brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych, profilowanie w sektorze bankowym i ubezpieczeniowym. W sektorze publicznym kontynuowana będzie kontrola miejskiego monitoringu wizyjnego, oraz sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków. Kontrole przewidziane zostały także w sektorze organów ścigania i sądów oraz szkolnictwie i służbie zdrowia.
