Temat przetwarzania danych osobowych dotyczy niemalże wszystkich przedsiębiorców. Prowadząc działalność gospodarczą w wielu bieżących czynnościach, dochodzi do przetwarzania danych osobowych różnych osób, w tym potencjalnych i aktualnych klientów, partnerów biznesowych, ale też własnych pracowników.
W toku operacji na danych może zdarzyć się, że dojdzie do naruszenia ochrony danych np. poprzez ich wyciek, utratę, niechcianą modyfikację. Zdarzenia takie wymagają szybkiej i odpowiedniej reakcji ze strony firmy. Brak adekwatnego działania w przypadku naruszeń ochrony danych może prowadzić do nałożenia na firmę wysokich kar pieniężnych.
Po pierwsze: zapobiegać
Ważne jest, by zdać sobie sprawę z zagrożenia i przygotować właściwe procedury. Będą one miały na celu zapobieganie naruszeniom, a także regulowanie zasad reagowania już w sytuacji podejrzenia incydentu. Kolejny etap to stworzenie postępowania w przypadku, gdy naruszenie ochrony danych zostanie potwierdzone.
Jednakże należy pamiętać, że nawet najlepiej sporządzony regulamin nie osiągnie swojego celu, jeżeli nie będzie stosowany w praktyce. Dlatego niezbędne jest zapoznanie personelu firmy z procedurami, a także prowadzenie regularnych szkoleń z zakresu przetwarzania danych osobowych.
Po drugie: reagować
Jak pokazuje praktyka po wejściu w życie RODO, istotne jest nie tylko adekwatne zabezpieczenie danych, ale również właściwa reakcja przedsiębiorcy w przypadku wykrycia naruszenia. Obserwując wydawane od jakiegoś czasu decyzje przez Prezesa Urzędu Ochrony Danych Osobowych, wyraźnie można zauważyć pewne tendencje w nakładaniu kar pieniężnych.
Brak adekwatnego zabezpieczenia danych jest istotną podstawą nakładania kar, jak np. w przypadku firmy Morele.net (kara w przybliżeniu w wysokości 2,8 mln zł). Poza niedostatecznymi zabezpieczeniami jedną z częstych przyczyn nałożenia kary jest brak zgłoszenia naruszenia, pomimo obowiązku wynikającego z przepisów.
Dla przykładu, w zeszłym miesiącu Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł! Powodem był brak zgłoszenia naruszenia ochrony danych osobowych. Urząd dowiedział się o naruszeniu od osoby, która stała się nieuprawnionym adresatem danych osobowych.
Również spóźnione zgłoszenie incydentu może znajduje się wśród przyczyn kary, jak miało to miejsce w Holandii. Holenderski Urząd Ochrony Danych (AP) nałożył na Booking.com karę na kwotę 475 000 euro za zbyt późne zgłoszenie naruszenia. Przypomnijmy – termin do zgłoszenia naruszenia wynosi 72 godziny od jego stwierdzenia.
Po trzecie: współpracować
Trzeba mieć na uwadze, że samo zgłoszenie może okazać się niewystarczające do uniknięcia lub zmniejszenia kary. Równie ważna jest współpraca z organem nadzorczym w toku postępowania kontrolnego.
Niedawno Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o, która nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania.
Podobna sytuacja miała miejsce w przypadku spółki East Power (kara w wysokości 15 tys. zł). Podkreślić należy, że również sądy administracyjne akceptują nakładanie kar za brak współpracy. W ubiegłym miesiącu Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję Prezesa UODO w sprawie nałożenia kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli.
Po czwarte: informować
Gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, trzeba przedsięwziąć odpowiednie kroki. Należy pamiętać, że w takich sytuacjach występuje konieczność powiadomienia osób, których danych dotyczył incydent, wraz z podaniem istotnych okoliczności i środków zaradczych.
Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny. Na uczelni doszło do naruszenia ochrony danych. O incydencie administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczyła ta sytuacja.
W skrócie: stosować się do zaleceń
Zatem nie tylko samo naruszenie, ale także brak zgłoszenia w wymaganym terminie, prowadzi do nałożenia wysokiej kary pieniężnej. Podobnie jest z brakiem współpracy z Prezesem Urzędu Ochrony Danych Osobowych w toku kontroli, co potwierdzają wydane decyzje. Również samo niewykonanie nakazu nałożonego uprzednią decyzją bywa powodem nałożenia kolejnej kary. Przekonał się o tym przedsiębiorca prowadzący działalność gospodarczą w zakresie ochrony zdrowia.
W toku pierwotnego postępowania Prezes UODO nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu, co nie zostało wykonane. Z tego powodu nałożono następną karę, która wyniosła ponad 85 tys. zł.
Warto zwrócić uwagę, że wysokość kary ustala organ i wszystkie okoliczności postępowania mają wpływ na jej wymiar. Bierze się wtedy pod uwagę różne czynniki: skala naruszenia, postawa przedsiębiorcy po naruszeniu, współpraca z organem czy podjęte działania zaradcze.
Przedsiębiorca, który chce uchylić się od konsekwencji nie przestrzegania przepisów RODO, powinien wypełnić szereg obowiązków. Dokonać analizy ryzyka i podjąć działania adekwatne do zapewnienia bezpieczeństwa danych. A jeżeli – mimo tego dojdzie do incydentu naruszenia ochrony danych – szybko i właściwie zareagować.