Przyczyny nałożenia kary za nieprzestrzeganie przepisów RODO mogą być różne. Do najczęstszych należą m.in. wysłanie maila lub pisma na niewłaściwy adres, naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hackerskie, zagubienie przez pracowników dokumentów, niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji, czy udostępnianie nagrań z monitoringu. Jednak możemy również wyróżnić te mniej oczywiste np. wysłanie przez agenta ubezpieczeniowego polisy na błędnie podany przez klienta adres e-mail, co skutkowało doręczeniem jej do nieuprawnionego adresata czy wyciek niezabezpieczonych danych pozwalający na dostęp do bazy danych ponad dwóch milionów klientów.
Na straży RODO stoi prezes UODO
Na straży danych stoi prezes Urzędu Ochrony Danych Osobowych (prezes UODO). Ma on prawo przeprowadzić kontrolę w każdej organizacji – zarówno z sektora prywatnego, jak i publicznego. Podstawę prawną jego działania jest ogólne rozporządzenie o ochronie danych – „RODO” – oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. W sytuacji, w której doszło do złamania przepisów o ochronie danych osobowych, prezes UODO podejmuje określone działania naprawcze, reagując odpowiednio do wagi konkretnego naruszenia.
CZYTAJ TEŻ: Firmy muszą uważać na RODO
– Wyciek danych może nieść za sobą przykre konsekwencje, jak np. zaciągnięcie przez oszusta kredytu na nazwisko poszkodowanego. Wycieki są szczególnie bolesne dla firm, dla których bardzo ważna jest reputacja, którą trudno zbudować, a bardzo łatwo stracić. Oprócz utraty wizerunku można otrzymać karę pieniężną. Jest ona nakładana w zależności od wagi naruszeń i oceny okoliczności konkretnej sprawy. Wówczas każdy przypadek jest badany indywidualnie. Nawet w przypadku dwóch podobnych zdarzeń decyzja może być zupełnie inna. Decydują o tym specyficzne okoliczności związane z konkretnym przypadkiem – mówi Justyna Pergałowska, radca prawny z firmy ODO 24.
Jakie są kary za złamanie przepisów RODO?
W Polsce pierwsza kara za niezastosowanie się do wytycznych PUODO miała miejsce w 2019 roku. Wyniosła 943 tys. zł. Nałożono ją na firmę przetwarzającą dane ogólnodostępne w internecie. Firma przetwarzała dane 6 milionów podmiotów, a poinformowała o tym jedynie 90 tysięcy z nich. W tym roku za niezastosowanie się przez przedsiębiorcę z branży medycznej do udzielanych przez UODO wskazówek nałożono na niego karę 85 tys. zł. Niezastosowanie przez Krajową Szkołę Sądownictwa i Prokuratury odpowiednich środków technicznych i organizacyjnych zapewniających poufność usług przetwarzania danych skutkowało karą w wysokości 100.000 zł.
Z kolei spółkę Virgin Mobile Polska za naruszenie zasady poufności danych i rozliczalności ukarano kwotą 1.968.524 zł. Kara w wysokości 136.000 zł nałożono na Eneę za brak zgłoszenia naruszenia ochrony danych osobowych. Najwyższa jak do tej pory kara pieniężna wyniosła 2.830.410 zł. Takie działanie UODO to skutek wycieku danych klientów sklepów internetowych prowadzonych przez Morele.net, które umożliwiło hakerom dostęp do bazy danych ponad 2 milionów klientów.
