04.05.2021

Naruszenia ochrony danych osobowych: jak zareagować, by uniknąć kary pieniężnej?

Michał Czuryło

Temat przetwarzania danych osobowych dotyczy niemalże wszystkich przedsiębiorców. Prowadząc działalność gospodarczą w wielu bieżących czynnościach, dochodzi do przetwarzania danych osobowych różnych osób, w tym potencjalnych i aktualnych klientów, partnerów biznesowych, ale też własnych pracowników.

W toku operacji na danych może zdarzyć się, że dojdzie do naruszenia ochrony danych np. poprzez ich wyciek, utratę, niechcianą modyfikację. Zdarzenia takie wymagają szybkiej i odpowiedniej reakcji ze strony firmy. Brak adekwatnego działania w przypadku naruszeń ochrony danych może prowadzić do nałożenia na firmę wysokich kar pieniężnych.

Po pierwsze: zapobiegać

Ważne jest, by zdać sobie sprawę z zagrożenia i przygotować właściwe procedury. Będą one miały na celu zapobieganie naruszeniom, a także regulowanie zasad reagowania już w sytuacji podejrzenia incydentu. Kolejny etap to stworzenie postępowania w przypadku, gdy naruszenie ochrony danych zostanie potwierdzone.

Jednakże należy pamiętać, że nawet najlepiej sporządzony regulamin nie osiągnie swojego celu, jeżeli nie będzie stosowany w praktyce. Dlatego niezbędne jest zapoznanie personelu firmy z procedurami, a także prowadzenie regularnych szkoleń z zakresu przetwarzania danych osobowych.

Po drugie: reagować

Jak pokazuje praktyka po wejściu w życie RODO, istotne jest nie tylko adekwatne zabezpieczenie danych, ale również właściwa reakcja przedsiębiorcy w przypadku wykrycia naruszenia. Obserwując wydawane od jakiegoś czasu decyzje przez Prezesa Urzędu Ochrony Danych Osobowych, wyraźnie można zauważyć pewne tendencje w nakładaniu kar pieniężnych.

Brak adekwatnego zabezpieczenia danych jest istotną podstawą nakładania kar, jak np. w przypadku firmy Morele.net (kara w przybliżeniu w wysokości 2,8 mln zł). Poza niedostatecznymi zabezpieczeniami jedną z częstych przyczyn nałożenia kary jest brak zgłoszenia naruszenia, pomimo obowiązku wynikającego z przepisów.

Dla przykładu, w zeszłym miesiącu Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł! Powodem był brak zgłoszenia naruszenia ochrony danych osobowych. Urząd dowiedział się o naruszeniu od osoby, która stała się nieuprawnionym adresatem danych osobowych.

Również spóźnione zgłoszenie incydentu może znajduje się wśród przyczyn kary, jak miało to miejsce w Holandii. Holenderski Urząd Ochrony Danych (AP) nałożył na Booking.com karę na kwotę 475 000 euro za zbyt późne zgłoszenie naruszenia. Przypomnijmy – termin do zgłoszenia naruszenia wynosi 72 godziny od jego stwierdzenia.

Po trzecie: współpracować

Trzeba mieć na uwadze, że samo zgłoszenie może okazać się niewystarczające do uniknięcia lub zmniejszenia kary. Równie ważna jest współpraca z organem nadzorczym w toku postępowania kontrolnego.

Niedawno Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o, która nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania.

Podobna sytuacja miała miejsce w przypadku spółki East Power (kara w wysokości 15 tys. zł). Podkreślić należy, że również sądy administracyjne akceptują nakładanie kar za brak współpracy. W ubiegłym miesiącu Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję Prezesa UODO w sprawie nałożenia kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli.

Po czwarte: informować

Gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, trzeba przedsięwziąć odpowiednie kroki. Należy pamiętać, że w takich sytuacjach występuje konieczność powiadomienia osób, których danych dotyczył incydent, wraz z podaniem istotnych okoliczności i środków zaradczych.

Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny. Na uczelni doszło do naruszenia ochrony danych. O incydencie administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczyła ta sytuacja.

W skrócie: stosować się do zaleceń

Zatem nie tylko samo naruszenie, ale także brak zgłoszenia w wymaganym terminie, prowadzi do nałożenia wysokiej kary pieniężnej. Podobnie jest z brakiem współpracy z Prezesem Urzędu Ochrony Danych Osobowych w toku kontroli, co potwierdzają wydane decyzje. Również samo niewykonanie nakazu nałożonego uprzednią decyzją bywa powodem nałożenia kolejnej kary. Przekonał się o tym przedsiębiorca prowadzący działalność gospodarczą w zakresie ochrony zdrowia.

W toku pierwotnego postępowania Prezes UODO nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu, co nie zostało wykonane. Z tego powodu nałożono następną karę, która wyniosła ponad 85 tys. zł.

Warto zwrócić uwagę, że wysokość kary ustala organ i wszystkie okoliczności postępowania mają wpływ na jej wymiar. Bierze się wtedy pod uwagę różne czynniki: skala naruszenia, postawa przedsiębiorcy po naruszeniu, współpraca z organem czy podjęte działania zaradcze.

Przedsiębiorca, który chce uchylić się od konsekwencji nie przestrzegania przepisów RODO, powinien wypełnić szereg obowiązków. Dokonać analizy ryzyka i podjąć działania adekwatne do zapewnienia bezpieczeństwa danych. A jeżeli – mimo tego dojdzie do incydentu naruszenia ochrony danych – szybko i właściwie zareagować.

Kontakt

Konieczny, Wierzbicki
Kancelaria Radców Prawnych sp.p.

    Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

    Administratorem Twoich danych osobowych jest Konieczny, Wierzbicki Kancelaria Radców Prawnych Sp. p. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków.
    NIP: 9452181482 REGON: 123240424
    Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
    mackrell Autoryzowany Doradca New Connect Invest in Poland british polish chamber of commerce Laureat Rankingu Kancelarii Prawniczych Rzeczpospolitej 2018 CATALYST Autoryzowany Doradca Irish polish chamber of commerce restrukturyzacja.pl