Wejściu w życie RODO w maju 2018 r. towarzyszyło niemałe zamieszanie. Presja związana była przede wszystkim z akcentowaniem konsekwencji naruszenia przepisów, w szczególności z karami pieniężnymi jakie organy nadzoru są uprawnione nakładać oraz ich maksymalną wysokością. Jakie kary zostały nałożone w trakcie 5 lat RODO w Polsce oraz co wpłynęło na ich wysokość?
Wymiar kar
Przepisy RODO przewidują dwie kategorie kar finansowych, które zależne są od rodzaju naruszenia. UODO może nałożyć karę w wysokości: do 10 lub 20 mln euro, do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku. Prezes UODO może również zdecydować, czy kara będzie miała charakter finansowy.
Stan niepewności powoduje sam charakter przepisów, które w ogólny sposób formułują zasady przetwarzania danych, pozostawiając w dużej mierze administratorom dowolność w wyborze środków do ich realizacji.
W związku z powyższym przedsiębiorcy czy instytucje, mniej lub bardziej prawidłowo i precyzyjnie starają się dostosować dokumenty i procedury i procesy przetwarzania danych do ogólnych zasad wynikających z Rozporządzenia.
Podstawy postępowań
Zgodnie ze statystykami UODO, jedną z głównych podstaw wszczynania postępowań kontrolnych są indywidualne skargi, które składane są przez osoby fizyczne. Przedmiotem skarg są głównie kwestie związane z przetwarzaniem i pozyskaniem danych bez podstaw prawnych oraz niezasadnym ich przekazywaniem dalszym podmiotom.
Z pewnością skargi te są związane z większą świadomością przysługujących osobom fizycznym praw i próbą ich egzekwowania, co wydaje się być w tym przypadku pozytywnym aspektem.
Przeczytaj także: Niecała połowa firm zgodna z przepisami o ochronie danych
Od czego zależy wysokość kary?
Wysokość kary zależna jest od takich czynników jak między innymi:
- charakter i waga czynu,
- czas trwania naruszenia,
- liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody,
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- rodzaj działań podjętych w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych),
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie.
W trakcie 5 lat RODO na polskie firmy nałożono 50 kar na łączną kwotę 3 439 709 euro.
5 najwyższych kar
- Fortum Marketing and Sales Polska S.A., kwota: 4,9 mln zł, data: 19.01.2022 r. (DKN.5131.31.22). Decyzja nakładająca grzywnę dotyczyła niewdrożenia odpowiednich środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych. Grzywna a przebiła głośną już karę 660 000 euro zastosowaną wobec Morele.net w pierwszym roku obowiązywania .Morele.net sp. z o.o., kwota: 660,000 euro (2,8 mln zł), data: 10.09.2019 r., ukarano spółkę ponieważ zastosowane przez nią środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce.
- Morele.net Sp. z o. o. z siedzibą w Krakowie, kwota: 2,8 mln zł, data: 10.09.2019 r. (ZSPR.421.2.2019), ukarano spółkę ponieważ zastosowane przez nią środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce.
- Virgin Mobile Polska Sp. z o.o., wysokość grzywny: 1,9 mln zł, data: 03.12.2020 r. (DKN.5112.1.2020), kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.
- Cyfrowy Polsat S.A., kwota: 1,1 mln zł, data: 22.04.2021 r.(DKN.5130.3114.2020), kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem.
- ID Finance Poland Sp. z o.o. w likwidacji, kwota: 1 mln zł., data: 17.12.2020 r. (DKN.5130.1354.2020), kara za niewdrożenie zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych.
5 najniższych kar
- Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole, kwota: 1 556,28 zł., data: 03.06.2020 r. (DKN.5131.31.2021), kara za brak woli Przedsiębiorcy do współpracy w zapewnieniu organowi wszelkich informacji niezbędnych do rozstrzygnięcia sprawy, w toku której organ zwracał się do niej o ich udzielenie (w szczególności wielokrotne nieodbieranie korespondencji kierowanej do Przedsiębiorcy.
- Wspólnota Mieszkaniowa „(…)” w S., kwota: 1 556,28 zł. data: 07.02.2023 r. (DKN.5131.2021), kara za powierzenie przez Wspólnotę Mieszkaniową przetwarzania danych osobowych członków tej Wspólnoty bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
- Osoba Prywatna, kwota: 6 854 zł. data: 31.08.2022 r. (DKE.561.5.2022), kara za naruszenie polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań.
- Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach, kwota: 2500 zł. data: 16.08.2022 r. (DKN.5131.29.2022) kara za powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia.
- Wójt gminy Dobryniewo Duże, kwota: 8 000 zł. data: 02.11.2022 r. grzywna za przetwarzanie danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem polegającym na nie wdrożeniu odpowiednich środków technicznych i organizacyjnych.
RODO-mania
Zmiany wprowadzone przez Rozporządzenie okazały się być swoistą rewolucją. Podejście oparte na ryzyku oraz płynność wymogów w zależności od wielu zmiennych okazały się być zarówno ułatwieniem, jak i utrudnieniem dla funkcjonowania wielu firm. W połączeniu z często odmiennymi interpretacjami przepisów (które zazwyczaj unikają konkretyzacji we wskazywaniu środków organizacyjnych) ostatnie 5 lat RODO zaowocowało licznymi karami finansowymi oraz upomnieniami ze strony UODO.
Biorąc pod uwagę dotychczasowe działania europejskich organów nadzorczych można już chyba śmiało wskazać, że przy tworzeniu dokumentacji wewnętrznej dla organizacji należy kierować się przede wszystkim zasadą rozliczalności. W praktyce oznacza to, że ilość wprowadzanych środków organizacyjnych zamiast zmniejszyć się, wzrośnie.
| Redakcja BPPZ.pl