Temat „RODO” wraca jak bumerang szczególnie w momencie, gdy w mediach pojawiają się informacje dotyczące rekordowych kar nakładanych na firmy nieprzestrzegające przepisów dotyczących ochrony danych osobowych. Wysokie kary pieniężne to jednak niejedyny powód, dla którego trzeba rzetelnie zabezpieczać dane osobowe klientów i kontrahentów. Stawką jest tu również ich zaufanie.
RODO – milionowe kary dla dużych firm
Ostatnio głośna sprawa ukarania przez Prezesa Urzędu Ochrony Danych Osobowych Virgin Mobile karą w wysokości 1,9 mln złotych to przestroga dla wszystkich, którzy w nieodpowiedni sposób przetwarzają dane osobowe. O ukaraniu tego operatora mobilnego pisał prawnik z Kancelarii Konieczny Wierzbicki, Przemysław Juściński, w artykule zatytułowanym: „RODO: 1,9 mln zł kary dla Virgin Mobile za brak wdrożenia odpowiedniej ochrony danych”.
Innym przykładem wysokiej kary (ponad 2,8 mln złotych) nałożonej przez Prezesa UODO jest sankcja dla spółki Morele.net. Również w tym przypadku powodem było niedostateczne zabezpieczenie danych. Pomimo odwołania złożonego przez firmę, rekordowa kara została utrzymana. Sprawa została szerzej opisana przez r.pr. Michała Czuryło w artykule „Rekordowa kara za naruszenie przepisów RODO utrzymana w mocy”.
Co zatem zrobić, by ochronić swoją organizację przed takimi naruszeniami? Przede wszystkim warto uczyć się na cudzych błędach. O nałożeniu kary na Virgin Mobile zdecydowały takie czynniki jak: brak kompleksowych i regularnych testów oraz oceny skuteczności zastosowanych środków technicznych i organizacyjnych. Skutkiem nieprzeprowadzania tego typu kontroli było zdobycie przez osobę nieuprawnioną dostępu do danych z jednej z baz klientów. Wyciek danych osobowych to poważne naruszenie nie tylko przepisów, ale również nadwyrężenie zaufania osób, o których informacje są przechowywane.
Cyber-zagrożenia a ochrona danych osobowych
Uregulowania prawne to jedna strona medalu. Przepisów RODO należy przestrzegać nie tylko, by uniknąć wysokich kar, ale również, by zabezpieczyć się przed cyberprzestępcami. Hakerzy wykorzystują brak czujności i niedostateczne narzędzia związane z ochroną danych osobowych, by zbierać informacje poufne.
Brak sprawdzenia potencjalnych luk w systemach oraz niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych. Na skutek tego Prezes UODO uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych. Za naruszenie zasady poufności danych, nałożył na spółkę karę w wysokości ponad 1 mln zł.
W czasach, gdy każda informacja jest towarem, przynoszącym korzyści jej posiadaczowi, trzeba zachować szczególną czujność. Dlatego tak ważna jest analiza ryzyka, która w efekcie pozwoli na dostosowanie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa danych. Kradzież tożsamości, poufnych informacji czy danych do kont bankowych to coraz popularniejsze problemy, z którymi muszą mierzyć się użytkownicy.
Co więcej, zagrożenie dotyczy nas wszystkich, ponieważ – jak wynika z raportu ZFODO – szansa, że organizacja, w której pracujemy, padnie ofiarą naruszenia RODO wynosi 65%. W sytuacji, gdy zabezpieczenie nie będzie odpowiednie, może dojść do wycieku danych na szeroką skalę. Warto zauważyć, że administrator danych ma obowiązek przeprowadzenia analizy ryzyka zgodnie z przepisami RODO.
RODO – najważniejsze zasady
Oprócz obowiązku poinformowania o samym fakcie przetwarzania danych, należy podać również cel, dla którego będą one przetwarzane. Co więcej, można zbierać tylko niezbędną ilość informacji. Niezgodne z prawem jest zbieranie dodatkowych informacji w przypadku, gdy nie są one potrzebne w procesie. Administrator ma natomiast obowiązek usunięcia danych w momencie, w sytuacji zrealizowania celu przetwarzania. Musi również zapewnić odpowiednie narzędzia do ich bezpiecznego przechowywania w czasie, gdy nimi zarządza.
Istotne jest, że każde przetwarzanie danych musi opierać się na określonej podstawie prawnej wskazanej w RODO. Wybór adekwatnej podstawy przetwarzania jest kluczowy dla administratora, gdyż determinuje jego dalsze prawa i obowiązki, a także uprawnienia podmiotu danych. Jako przykład można podać zgodę. W takim przypadku należy pamiętać, że jej wycofanie obliguje administratora do usunięcia danych. Dodatkowo zgoda na przetwarzanie danych osobowych powinna być udzielona zanim zaczniemy przetwarzać czyjeś dane. Należy podkreślić, że zgoda musi spełniać szereg wymogów z RODO, aby była ważna i skuteczna. A osoba, która ją wyraziła ma prawo w każdej chwili ją wycofać.
Przestrzeganie przepisów RODO pod kontrolą
Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości ponad 200 tys. zł za utrudnianie realizacji prawa do wycofania zgody. Dodatkowo warto pamiętać, że zgoda na przetwarzanie danych osobowych powinna być udzielona zanim zaczniemy przetwarzać czyjeś dane. Ponadto zgoda musi spełniać szereg wymogów z RODO, aby była ważna i skuteczna.
Administrator danych jest zobligowany przez RODO do spełnienia obowiązku informacyjnego wobec podmiotów danych. Osoba, której dane są przetwarzane ma prawo poznania tożsamości podmiotów, którym przekazała informacje o sobie, a także informacji o przetwarzaniu ich danych. Ma to również zastosowanie w przypadku, gdy firma pozyskuje zbiory danych z zewnętrznych źródeł. Spółkę ukarano prawie milionową karą za niedopełnienie obowiązku informacyjnego wobec osób, których bazę nabyła od innej firmy. Więcej na ten temat można przeczytać w artykule „RODO: Blisko milion złotych kary za nieprzestrzeganie przepisów.”.
Co więcej, przestrzeganie przepisów RODO podlega kontroli. Prowadzą je pracownicy Urzędu Ochrony Danych Osobowych. Dodatkowo istnieje również instytucja „samokontroli”. Na administratorze danych osobowych spoczywa obowiązek zgłaszania organowi nadzorczemu większości przypadków naruszenia ochrony danych osobowych. Zawiadomienia należy dokonać w ciągu maksymalnie 72 godzin od stwierdzenia naruszenia. Należy wspomnieć, że zaniechanie prawidłowego zgłoszenia naruszenia może poskutkować karą pieniężną. Takiej sytuacji doświadczyło np. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. otrzymując karę w wysokości 85 588 zł.
Odpowiedzialność za niewłaściwe postępowanie z danymi
Obecnie nie wystarczy deklaracja, że firma przestrzega przepisów unijnego Rozporządzenia o ochronie danych osobowych. Potrzebne są również konsekwentne, bieżące działania, z których administrator danych będzie rozliczany.
Naruszenie określonych obowiązków przez administratora i podmiot przetwarzający, wiąże się z karą administracyjną w postaci pieniężnej. Wynosi ona do 10 milionów euro lub w wysokości do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Z kolei wyższą karę zwykle nakłada się na administratora jeśli dojdzie do naruszeń w zakresie podstawowych zasad przetwarzania, wymogów co przekazywania danych o odbiorcy do państwa trzeciego czy nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia bądź przetwarzania przepływu danych przez organ nadzorczy. W takich przypadkach kara może wynieść nawet 20 milionów euro lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
O przykładach najczęstszych naruszeń można przeczytać w artykule „Najczęstsze naruszenia przepisów RODO”.
Osoba pokrzywdzona ma także prawo do pozwania administratora danych osobowych na zasadach wskazanych w Kodeksie cywilnym oraz Kodeksie postępowania cywilnego.
Chcesz wiedzieć jak skutecznie chronić swoją firmę i jej dobre imię? Jak ustrzec się przed złamaniem zasad RODO, a w konsekwencji przed dostaniem się ich w niepowołane ręce? Skontaktuj się z naszymi prawnikami specjalizującymi się w RODO.