22.01.2021

RODO – konsekwencje nieprzestrzegania przepisów przez firmy

Barbara Miziołek
GDPR

Temat „RODO” wraca jak bumerang szczególnie w momencie, gdy w mediach pojawiają się informacje dotyczące rekordowych kar nakładanych na firmy nieprzestrzegające przepisów dotyczących ochrony danych osobowych. Wysokie kary pieniężne to jednak niejedyny powód, dla którego trzeba rzetelnie zabezpieczać dane osobowe klientów i kontrahentów. Stawką jest tu również ich zaufanie.

RODO – milionowe kary dla dużych firm

Ostatnio głośna sprawa ukarania przez Prezesa Urzędu Ochrony Danych Osobowych Virgin Mobile karą w wysokości 1,9 mln złotych to przestroga dla wszystkich, którzy w nieodpowiedni sposób przetwarzają dane osobowe. O ukaraniu tego operatora mobilnego pisał prawnik z Kancelarii Konieczny Wierzbicki, Przemysław Juściński, w artykule zatytułowanym: „RODO: 1,9 mln zł kary dla Virgin Mobile za brak wdrożenia odpowiedniej ochrony danych”.

Innym przykładem wysokiej kary (ponad 2,8 mln złotych) nałożonej przez Prezesa UODO jest sankcja dla spółki Morele.net. Również w tym przypadku powodem było niedostateczne zabezpieczenie danych. Pomimo odwołania złożonego przez firmę, rekordowa kara została utrzymana. Sprawa została szerzej opisana przez r.pr. Michała Czuryło w artykule „Rekordowa kara za naruszenie przepisów RODO utrzymana w mocy”.

Co zatem zrobić, by ochronić swoją organizację przed takimi naruszeniami? Przede wszystkim warto uczyć się na cudzych błędach. O nałożeniu kary na Virgin Mobile zdecydowały takie czynniki jak: brak kompleksowych i regularnych testów oraz oceny skuteczności zastosowanych środków technicznych i organizacyjnych. Skutkiem nieprzeprowadzania tego typu kontroli było zdobycie przez osobę nieuprawnioną dostępu do danych z jednej z baz klientów. Wyciek danych osobowych to poważne naruszenie nie tylko przepisów, ale również nadwyrężenie zaufania osób, o których informacje są przechowywane.

Cyber-zagrożenia a ochrona danych osobowych

Uregulowania prawne to jedna strona medalu. Przepisów RODO należy przestrzegać nie tylko, by uniknąć wysokich kar, ale również, by zabezpieczyć się przed cyberprzestępcami. Hakerzy wykorzystują brak czujności i niedostateczne narzędzia związane z ochroną danych osobowych, by zbierać informacje poufne.

Brak sprawdzenia potencjalnych luk w systemach oraz niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych. Na skutek tego Prezes UODO uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych. Za naruszenie zasady poufności danych, nałożył na spółkę karę w wysokości ponad 1 mln zł.

W czasach, gdy każda informacja jest towarem, przynoszącym korzyści jej posiadaczowi, trzeba zachować szczególną czujność. Dlatego tak ważna jest analiza ryzyka, która w efekcie pozwoli na dostosowanie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa danych. Kradzież tożsamości, poufnych informacji czy danych do kont bankowych to coraz popularniejsze problemy, z którymi muszą mierzyć się użytkownicy.

Co więcej, zagrożenie dotyczy nas wszystkich, ponieważ – jak wynika z raportu ZFODO – szansa, że organizacja, w której pracujemy, padnie ofiarą naruszenia RODO wynosi 65%. W sytuacji, gdy zabezpieczenie nie będzie odpowiednie, może dojść do wycieku danych na szeroką skalę. Warto zauważyć, że administrator danych ma obowiązek przeprowadzenia analizy ryzyka zgodnie z przepisami RODO.

RODO – najważniejsze zasady

Oprócz obowiązku poinformowania o samym fakcie przetwarzania danych, należy podać również cel, dla którego będą one przetwarzane. Co więcej, można zbierać tylko niezbędną ilość informacji. Niezgodne z prawem jest zbieranie dodatkowych informacji w przypadku, gdy nie są one potrzebne w procesie. Administrator ma natomiast obowiązek usunięcia danych w momencie, w sytuacji zrealizowania celu przetwarzania. Musi również zapewnić odpowiednie narzędzia do ich bezpiecznego przechowywania w czasie, gdy nimi zarządza.

Istotne jest, że każde przetwarzanie danych musi opierać się na określonej podstawie prawnej wskazanej w RODO. Wybór adekwatnej podstawy przetwarzania jest kluczowy dla administratora, gdyż determinuje jego dalsze prawa i obowiązki, a także uprawnienia podmiotu danych. Jako przykład można podać zgodę. W takim przypadku należy pamiętać, że jej wycofanie obliguje administratora do usunięcia danych. Dodatkowo zgoda na przetwarzanie danych osobowych powinna być udzielona zanim zaczniemy przetwarzać czyjeś dane. Należy podkreślić, że zgoda musi spełniać szereg wymogów z RODO, aby była ważna i skuteczna. A osoba, która ją wyraziła ma prawo w każdej chwili ją wycofać.

Przestrzeganie przepisów RODO pod kontrolą

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości ponad 200 tys. zł za utrudnianie realizacji prawa do wycofania zgody. Dodatkowo warto pamiętać, że zgoda na przetwarzanie danych osobowych powinna być udzielona zanim zaczniemy przetwarzać czyjeś dane. Ponadto zgoda musi spełniać szereg wymogów z RODO, aby była ważna i skuteczna.

Administrator danych jest zobligowany przez RODO do spełnienia obowiązku informacyjnego wobec podmiotów danych. Osoba, której dane są przetwarzane ma prawo poznania tożsamości podmiotów, którym przekazała informacje o sobie, a także informacji o przetwarzaniu ich danych. Ma to również zastosowanie w przypadku, gdy firma pozyskuje zbiory danych z zewnętrznych źródeł. Spółkę ukarano prawie milionową karą za niedopełnienie obowiązku informacyjnego wobec osób, których bazę nabyła od innej firmy. Więcej na ten temat można przeczytać w artykule „RODO: Blisko milion złotych kary za nieprzestrzeganie przepisów.”.

Co więcej, przestrzeganie przepisów RODO podlega kontroli. Prowadzą je pracownicy Urzędu Ochrony Danych Osobowych. Dodatkowo istnieje również instytucja „samokontroli”. Na administratorze danych osobowych spoczywa obowiązek zgłaszania organowi nadzorczemu większości przypadków naruszenia ochrony danych osobowych. Zawiadomienia należy dokonać w ciągu maksymalnie 72 godzin od stwierdzenia naruszenia. Należy wspomnieć, że zaniechanie prawidłowego zgłoszenia naruszenia może poskutkować karą pieniężną. Takiej sytuacji doświadczyło np. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. otrzymując karę w wysokości 85 588 zł.

Odpowiedzialność za niewłaściwe postępowanie z danymi

Obecnie nie wystarczy deklaracja, że firma przestrzega przepisów unijnego Rozporządzenia o ochronie danych osobowych. Potrzebne są również konsekwentne, bieżące działania, z których administrator danych będzie rozliczany.

Naruszenie określonych obowiązków przez administratora i podmiot przetwarzający, wiąże się z karą administracyjną w postaci pieniężnej. Wynosi ona do 10 milionów euro lub w wysokości do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Z kolei wyższą karę zwykle nakłada się na administratora jeśli dojdzie do naruszeń w zakresie podstawowych zasad przetwarzania, wymogów co przekazywania danych o odbiorcy do państwa trzeciego czy nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia bądź przetwarzania przepływu danych przez organ nadzorczy. W takich przypadkach kara może wynieść nawet 20 milionów euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

O przykładach najczęstszych naruszeń można przeczytać w artykule „Najczęstsze naruszenia przepisów RODO”.

Osoba pokrzywdzona ma także prawo do pozwania administratora danych osobowych na zasadach wskazanych w Kodeksie cywilnym oraz Kodeksie postępowania cywilnego.

Chcesz wiedzieć jak skutecznie chronić swoją firmę i jej dobre imię? Jak ustrzec się przed złamaniem zasad RODO, a w konsekwencji przed dostaniem się ich w niepowołane ręce? Skontaktuj się z naszymi prawnikami specjalizującymi się w RODO.

Artykuł został przygotowany we współpracy z Fundacją Prawo dla technologii

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.

    Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

    Administratorem Twoich danych osobowych jest
    KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
    Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
    Warszawa

    Rondo ONZ 1,

    00-124 Warszawa,

    +48 12 3957161

    kontakt@kwkr.pl

    Chcesz być na bieżąco? Zapisz się do naszego newslettera

    Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

    czytaj więcej

    Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

     

    Do you want to be up to date? Sign up for our newsletter

    By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

    read more

    The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.