Streszczenie: Kary za naruszenia RODO w 2020 roku w Unii Europejskiej osiągnęły 158,5 miliona euro, a średnia dzienna liczba wycieków danych wzrosła o 19% w porównaniu z poprzednim rokiem. Mimo że rozporządzenie obowiązuje od czterech lat, wiele firm nadal ma trudności z jego skutecznym wdrożeniem. Przykładem jest sprawa Banku Millennium, który został ukarany grzywną w wysokości 363 tysięcy złotych za niezawiadomienie Urzędu Ochrony Danych Osobowych (UODO) o zagubieniu przesyłki zawierającej dane osobowe klienta. Ewa Kurowska-Tober z DLA Piper wskazuje, że najczęstsze naruszenia RODO wynikają z błędów ludzkich, takich jak wysyłanie korespondencji do niewłaściwych odbiorców czy nieuprawniony dostęp do informacji spowodowany incydentami bezpieczeństwa. Aby uniknąć kar, firmy powinny szybko reagować na naruszenia, zgłaszać je w ciągu 72 godzin oraz wprowadzać procedury zapobiegające podobnym incydentom w przyszłości. W niektórych przypadkach, takich jak wdrożenie działań naprawczych czy współpraca z UODO, możliwe jest odstąpienie od nałożenia kary pieniężnej.
Kary za naruszenia RODO w 2020 roku sięgnęły w UE aż 158,5 milionów euro. O 19% względem poprzedniego roku wzrosła też średnia dzienna liczba wycieków danych. Choć rozporządzenie obowiązuje już czwarty rok, firmy wciąż mają problem z jego skutecznym wdrożeniem. Na pytanie, jak to zmienić, odpowiada Ewa Kurowska‑Tober z DLA Piper.
Jedna z ostatnich spraw o naruszenie RODO (tocząca się w listopadzie tego roku), dotyczyła postępowania po wycieku danych w Banku Millenium. Firma kurierska współpracująca z instytucją zagubiła przesyłkę, która zawierała imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych i numer identyfikacyjny jednego z klientów banku. Mimo, że o zdarzeniu poinformowano osobę, której list zaginął, incydent nie został zgłoszony do UODO.
A powinien, ponieważ zaistniało ryzyko kradzieży lub sfałszowania tożsamości, strat finansowych, czy naruszenia dobrego imienia. Na bank nałożono karę wysokości 363 tysięcy złotych. UODO o sprawie dowiedział się poprzez skargę, która wpłynęła od osób prywatnych.
Takich przypadków jest i będzie coraz więcej, ponieważ świadomość obywateli Unii Europejskiej dotycząca praw związanych z ochroną danych osobowych systematycznie rośnie. Równolegle powinna zatem wzrastać świadomość zagrożeń związanych z RODO u menedżerów firm, jednak póki co spraw sądowych dotyczących naruszeń RODO przybywa.
Głos eksperta
Wraz z upływem czasu i finalizowaniem drogi sądowej kolejnych spraw o naruszenie RODO, coraz jaśniejsze staje się, jakiego rodzaju zabezpieczenia warto stosować. Warto też dodać, że w 2020 roku zaobserwowano więcej niż w poprzednich latach uchyleń kar. Na podstawie tych doświadczeń wdrażać można praktyki, które pozwolą na lepsze zadbanie o bezpieczeństwo zarządzania danymi w firmie.
Jak to zrobić, zapytaliśmy Ewę Kurowską‑Tober – partner kierującą praktyką własności intelektualnej i nowych technologii w warszawskim biurze DLA Piper i współkierującą globalną praktyką danych osobowych w DLA Piper.
Jak ustrzec się naruszenia RODO – najlepsze praktyki
Z czego najczęściej wynikają naruszenia RODO?
Wśród zdecydowanie najczęstszych przyczyn naruszeń RODO należy wskazać incydenty spowodowane nieumyślnie, w tym głównie wynikające z błędu ludzkiego. W większości przypadków odpowiedzialność za naruszenie ponoszą pracownicy lub współpracownicy administratorów danych.
Przykładowym rodzajem powszechnego naruszenia zgłaszanego do PUODO (Prezesa Urzędu Ochrony Danych Osobowych) jest wysłanie korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy. Innym przykładem może być nieuprawnione uzyskanie dostępu do informacji na skutek incydentów bezpieczeństwa – błędów programistycznych, niestosowania procedur bezpieczeństwa czy cyberataku.
Teoretycznie powinniśmy coraz lepiej radzić sobie z ochroną danych osobowych. Kar za naruszenia jest jednak coraz więcej – dlaczego tak się dzieje?
Niezaprzeczalnie najbardziej dotkliwą konsekwencją prawną z tytułu naruszenia przepisów RODO jest administracyjna kara pieniężna wymierzana przez organ zgodnie z art. 83 RODO. Kara na tej podstawie jest nakładana zależnie od okoliczności każdego indywidualnego przypadku z uwzględnieniem przesłanek wymienionych w tym artykule.
Kluczowe jest tempo reakcji na zgłoszenie naruszenia (72 godziny) i szybkie zapobieganie dalszym negatywnym konsekwencjom incydentu. Już samo nieterminowe zawiadomienie podmiotów danych czy PUODO o naruszeniu może stanowić podstawę wymierzenia kary pieniężnej. Coraz częściej także osoby, których dane zostały naruszone, podnoszą roszczenia odszkodowawcze przeciwko administratorom danych.
W jakich sytuacjach i na jakiej podstawie możliwe jest umorzenie kary bądź jej części?
Analizując decyzje PUODO należy ocenić, że często organ odstępuje od wymierzenia kary pieniężnej, mimo stwierdzenia wystąpienia naruszenia. Poprzestaje on z reguły na wystosowaniu upomnienia, w sytuacjach, gdy m.in.:
Dany podmiot wprowadził procedury zapobiegające pojawianiu się naruszeń w przyszłości (w trakcie trwania postępowania, z własnej inicjatywy);
Postępowanie było prowadzone na skutek skargi konkretnej osoby, a jej żądania zostały zrealizowane w trakcie jego trwania;
Podmiot sprawnie współpracował z PUODO podczas postępowania;
Strona postępowania przeprowadziła „czynności naprawcze” prowadzące do usunięcia efektów naruszenia.
Należy także pamiętać, że nawet w przypadku nałożenia grzywny przez organ, zawsze można odwołać się do sądu, który może decyzję uchylić, a sprawę przekazać do ponownego rozpatrzenia.
Ewa Kurowska‑Tober – partner kierująca praktyką własności intelektualnej i nowych technologii w warszawskim biurze DLA Piper i współkierująca globalną praktyką danych osobowych w DLA Piper.
Umorzenia w praktyce
Przykładem przedsiębiorstwa, któremu umorzono karę, jest Österreichische Post, początkowo oskarżone o upublicznienie danych o zaangażowaniu politycznym swoich klientów. Po odwołaniu się firmy w austriackim Sądzie Federalnym, umorzono karę, która początkowo miała wynosić 18 milionów euro.
W Wielkiej Brytanii, którą mimo brexitu w styczniu 2020 roku uwzględniono w raporcie o ochronie danych osobowych, znane były przypadki zmniejszenia wysokości grzywny nawet o 90%. Decyzję o redukcji jednej z kar z 189 milionów funtów brytyjskich do zaledwie 20 milionów uzasadniano trudną sytuacją związaną z pandemią COVID‑19.
Źródła:
Indeks górny https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla‑piper‑gdpr‑fines‑and‑data‑breach‑survey‑2021/https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla‑piper‑gdpr‑fines‑and‑data‑breach‑survey‑2021/
Indeks górny https://datenschutz‑hamburg.de/assets/pdf/2020‑10‑01‑press‑release‑h+m‑fine.pdfhttps://datenschutz‑hamburg.de/assets/pdf/2020‑10‑01‑press‑release‑h+m‑fine.pdf
Indeks górny https://uodo.gov.pl/pl/138/2211https://uodo.gov.pl/pl/138/2211
