Pierwsza kara za przetwarzanie danych osobowych. Spora

Pierwsza kara za przetwarzanie danych osobowych. Spora
Fot. Adobe Stock. Data dodania: 20 września 2022

Po dziesięciu miesiącach obowiązywania dyrektywy Rozporządzenia o Ochronie Danych Osobowych prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę za złamanie regulujących tę kwestię przepisów. Nieujawniona z nazwy spółka zapłaci prawie milion złotych.

  • Prezes UODO nałożyła pierwszą karę pieniężną za złamanie przepisów o ochronie danych osobowych.
  • Nieujawniona z nazwy spółka musi zapłacić 943 tys. zł za niedopełnienie obowiązku informacyjnego.
  • Dotychczas do UODO wpłynęło około 4 tys. skarg.

Przez dziesięć miesięcy funkcjonowania przepisów RODO można by dojść do wniosku, że te regulacje z jednej strony nie sprawiły przedsiębiorcom żadnych kłopotów, z drugiej zaś – że nie dochodzi na tym polu żadnych poważniejszych nadużyć. Aż do wtorku, 26 marca.

Prezes UODO Edyta Bielak-Jomaa poinformowała dzisiaj, że kierowany przezeń urząd nałożył pierwszą karę. I to od razu dość pokaźną – 943 tys. zł. Powodem miało być niedopełnienie obowiązku informacyjnego.

Zobacz też:RODO to przede wszystkim ochrona prywatności, nie absurdy

O co chodziło w praktyce? UODO przeprowadził postępowanie w sprawie spółki, która przetwarzała w celach zarobkowych dane osób, pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). W samej tego rodzaju działalności nie ma nic złego. Pod jednym warunkiem – że, ci których dane są przetwarzane, zostaną o tym poinformowani. W tym przypadku tak się jednak nie stało.

Zobacz też: Propozycje zmian w RODO uniemożliwią bankom ocenę zdolności kredytowej

Administrator – czyli spółka przetwarzająca dane - spełnił obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO, jedynie wobec tych osób, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na wysokie koszty takiej operacji. Dlatego jedynie na swojej stronie internetowej zamieścił klauzule informacyjną.

Prezes UODO uznała, że to stanowczo za mało. Jej zdaniem, mając dane kontaktowe do poszczególnych osób, administrator danych powinien spełnić wobec nich obowiązek informacyjny, podać, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO. Na podstawie tej informacji osoby, których dane były przetwarzane, mogłyby zażądać zaprzestania takich działań. Na skutek zaniechania spółki nie mieli takiej możliwości.

W ocenie Edyty Bielak-Jomaa, administrator danych mógł wykonać ów obowiązek informacyjny, gdyż dysponował adresami i numerami telefonów osób, których dane przetwarzał. Nie było natomiast konieczne wysyłanie takiej informacji listem polecanym – a koszty takiego właśnie rozwiązania przedstawiała spółka jako argument swojego zaniechania.

Prezes UODO uznała jednak ponadto, że naruszenie administratora miało charakter umyślny, ponieważ, jak ustalono w toku postępowania, spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.



Pierwsza orzeczona kara, chociaż wysoka, nie jest najwyższą, jaką może zapłacić firma za zaniechanie przepisów RODO. Górna granica nałożonej przez UODO kary administracyjnej może wynieść nawet do 20 milionów euro lub do 4 proc. całkowitego rocznego światowego obrotu. W tym konkretnym przypadku, ponieważ UODO nie ujawniło, o jaką spółkę chodzi, trudno stwierdzić, jaką część rocznego obrotu stanowi kara, a co za tym idzie - na ile jest dla spółki dolegliwa – chociaż wyłożenie miliona złotych na karę jest sporym wyzwaniem dla większości polskich firm, nawet dla tych dużych jest to zauważalny wydatek.

Można powiedzieć, że pierwsza kara po dziesięciomiesięcznym funkcjonowaniu nowych przepisów, zwłaszcza budzących tyle emocji przy okazji ich wprowadzania, nie jest zbyt imponującym osiągnięciem. Eksperci patrzą jednak na sprawę chłodnym okiem.

- Z całą pewnością nakładanie licznych kar administracyjnych w pierwszym okresie istnienia UODO byłoby dużym motywatorem dla przedsiębiorców, ale nie oznacza to, że UODO nie jest aktywne. Kontrole są realizowane, ale obecnie przede wszystkim w sektorze publicznym. Jeżeli chodzi o sektor prywatny, to UODO zapowiedziało plan kontroli sektorowych na rok 2019 dla przedsiębiorców prywatnych, który odnosi się przede wszystkim do branży telemarketingu, towarzystw ubezpieczeniowych czy też do sektora bankowego – twierdzi Kacper Rączkowski z Departamentu Outsourcingu Grant Thotrnton.

Jego słowa o aktywności prezesa UODO – mimo braku kar pieniężnych – potwierdzają wcześniejsze komunikaty Urzędu. Na przykład nieco ponad dwa tygodnie wcześniej prezes UODO zawiadomiła Prokuratora Generalnego o podejrzeniu popełnienia przestępstwa przez spółkę, która jako administrator kilkunastu stron internetowych żąda pieniędzy za usunięcie wpisów zawierających dane osobowe.

- Prawo dostępu do danych, ich sprostowania, przeniesienia czy usunięcia to niektóre z praw przysługujących nam na gruncie ogólnego rozporządzenia o ochronie danych, czyli RODO. Za korzystanie z tych praw administratorzy nie mogą żądać opłat od osób, których dane przetwarzają – podkreślała wówczas prezes UODO, która uznała, że spółka łamie nie tylko rozporządzenie o ochronie danych osobowych, ale i kodeks karny – bo w grę w tym przypadku wchodzi podjęcie decyzji o niekorzystnym rozporządzeniu swoim mieniem.

Ekspert zwraca również uwagę, na swoiste „choroby wieku dziecięcego” nowych regulacji. - Stworzenie nowej instytucji czy też gruntowna reorganizacja struktur przejętych nigdy nie jest zadaniem łatwym. Przede wszystkim prezes UODO wraz z podległym mu urzędem stanął przed wyzwaniem reorganizacji struktury wewnętrznej, uzupełnienia braków kadrowych czy też uporządkowania spadku po GIODO. Pierwszego roku funkcjonowania nie ułatwił także brak krajowego ustawodawstwa, różnice zdań UODO i Ministerstwa Cyfryzacji, jak i potrzeba dostosowania krajowych aktów prawnych, tj. głównie prace nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania przepisów RODO - podkreśla.

Warto też zauważyć, że także inne europejskie kraje nie były zbyt surowe w kwestii RODO, w pierwszym półroczu funkcjonowania tych przepisów nałożono jedynie sześć kar – w Niemczech, wszystkie w Nadrenii Północnej-Westfalii, które można uznać za symboliczne. W sumie było to 2350 euro (jedna kara w wysokości 600 euro, dwie po 500 euro i trzy po 250 euro).

Przypomnijmy, że kwestia rozporządzenia RODO nie jest nowa. Ogólne rozporządzenie o ochronie danych jest częścią pakietu UE dotyczącego reformy ochrony danych razem z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości. Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.



Każdy kraj mógł jednak zdecydować się na zmiany w prawie ułatwiające implementację nowych przepisów. Tak też się stało i w Polsce. 10 maja 2018 roku Sejm uchwalił ustawę o ochronie danych osobowych, która zapewniła stosowanie tego rozporządzenia Parlamentu Europejskiego, a przy okazji zastąpiła urząd Głównego Inspektora Ochrony Danych Osobowych.

Chociaż ogólne zasady nowego rozporządzenia były znane od dwóch lat w wielu polskich firmach, nowe regulacje wzbudziły popłoch – najczęściej wynikający z niewiedzy. - „RODO panika” sprowadziła niektóre kwestie do absurdu, ale podkreślić należy, że było to w zdecydowanej mierze działanie przedsiębiorców, którzy nie mieli żadnej wiedzy na temat spraw związanych z danymi osobowymi. W wielu przedsiębiorstwach ochrona danych osobowych była fikcją i istniała „na papierze”. Problemem jest nie tylko zabezpieczenie danych osobowych w podmiotach gospodarczych, lecz utworzenie jakiegokolwiek systemu zarządzania informacjami, ponieważ często nie chroni się żadnych informacji, a zatem także tych ważnych z punktu widzenia celu prowadzonego biznesu – twierdzi Kacper Rączkowski.

- Jeżeli konkretna organizacja nie chroniła danych osobowych, to dostosowanie się do RODO było dla niej dużym problemem. Jednak jeżeli system ochrony danych faktycznie istniał, to możemy mówić, że wdrożenie zasad wynikających z RODO było uściśleniem dotychczasowych regulacji i ich częściową zmianą – podkreśla ekspert, dodając, że uregulowanie procesów przetwarzania danych osobowych choćby w procesach kadrowych było działaniem pożądanym i potrzebnym, ponieważ doczekaliśmy się ważnego uregulowania kwestii monitorowania pracowników, za pomocą zarówno monitoringu wizyjnego, sieciowego czy też np. GPS.

- RODO to nie jest żadna rewolucja dla tych, którzy znali przepisy. To raczej następstwo współczesności i dzisiejszych wyzwań – potwierdzała miesiąc temu prezes UODO Edyta Bielak–Jomaa w wywiadzie dla PulsHR.pl.

I z jej słów wynika, że rzeczywiście kierowany przezeń urząd na brak pracy nie może narzekać. - Samych skarg od 25 maja ubiegłego roku do końca stycznia tego roku było ponad 4 tysiące, podczas gdy w całym poprzednim roku było ich ok. 3,5 tysiąca. Ta skala i wzrost są widoczne. RODO przebiło się do świadomości ludzi – stwierdziła. Do tego można dodać 1800 zgłoszeń dotyczących naruszeń ochrony danych. Chodzi o takie zgłoszenia, o których jest mowa w art. 33 RODO, czyli o sytuację, gdy administrator danych zgłasza urzędowi, że miał wyciek (to jest obowiązkowe).

Czego najczęściej dotyczą skargi? - Skargi dotyczą na przykład żądania usunięcia danych przez banki, firmy windykacyjne czy ubezpieczeniowe. Wymuszania zgody na przetwarzanie danych w celach marketingowych, zaprzestania wysyłania przez firmy niechcianej korespondencji, udostępniania danych osobowych osobom nieuprawnionym czy zbierania zbyt dużej ilości danych – twierdzi prezes UODO.

- Duża liczba skarg dotyczy monitoringu, w tym monitoringu pracowniczego, gromadzenia i przetwarzania zbyt wielu danych w związku z rekrutacją. Część skarg dotyczy przetwarzania danych medycznych. Są też skargi dotyczące usunięcia danych z portali społecznościowych, czyli realizacji prawa do „bycia zapomnianym”. Zajmujemy się sprawami, które są bardzo blisko człowieka i dotyczą go na co dzień - dodaje.

A jak to wygląda z puntu widzenia przedsiębiorców? - Dużym problemem w wielu przedsiębiorstwach był brak jakiegokolwiek zarządzania systemem bezpieczeństwa danych, tj. poprawnym zabezpieczeniem, przechowaniem, zniszczeniem itp. – twierdzi Kacper Rączkowski.

- Problemem jest także dostosowanie infrastruktury informatycznej, która jest używana przy czynnościach przetwarzania danych. Pomijam sprawy tak oczywiste, jak właściwe zabezpieczenie systemów, ale inny przykład to brak możliwości usunięcia danych zarówno z systemów, jak i kopii zapasowych. Powiązany problem to sprawne odebranie dostępu do systemu informatycznego, co jest realizowane np. przy zwolnieniu czy też przeszeregowaniu pracowników – dodaje ekspert Grant Thornton.

- Zarządzanie kopiami zapasowymi z punktu widzenia przechowania danych osobowych nigdy nie było zadaniem łatwym, a brak jasnej deklaracji ze strony organu nadzorczego nie ułatwia tego procesu – dodaje.

Czy możemy spodziewać się następnych kar? Patrząc realistycznie - zapewne tak. Ale droga do ich wymierzania nie jest taka oczywista. UODO podkreśla, że prezes Urzędu podejmując taką decyzję, musi wziąć pod uwagę aż 11 czynników. Trzeba też pamiętać, że kara pieniężna to ostateczność, prezes UODO ma w swoim arsenale środków dyscyplinujących takie narzędzia jak: upomnienia, ostrzeżenia czy wezwania do przywrócenia stanu, w którym przetwarzanie danych odbywa się zgodnie z prawem.

Jeśli te „miękkie” środki dyscyplinujące okażą się nieskuteczne lub nieadekwatne, prezes UODO musi ocenić charakter, wagę i czas trwania naruszenia. Znaczenie ma więc liczba poszkodowanych osób czy rozmiar poniesionej przez nie szkody, ale i to, jaki był cel i zakres przetwarzania danych, których dotyczyło naruszenie. Konieczne jest też zbadanie, czy miało ono charakter umyślny, czy też nie.
Istotne dla ustaleń jest również przeanalizowanie działań, jakie w związku z naruszeniem podjął administrator bądź podmiot przetwarzający. Prezes UODO bierze więc pod uwagę, czy np. podmiot po swojej stronie podjął działania zmierzające do naprawy stwierdzonych nieprawidłowości, czy powiadomił osoby, których dane przetwarza, np. o wycieku informacji z bazy danych.



Duże znaczenie ma również stopień współpracy administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Inna więc może być sytuacja podmiotu, który na etapie postępowania podejmuje działa zmierzające np. do zaprzestania naruszenia, niż tego, który z tym zwleka albo w ogóle nie zamierza nic robić.

Ważnym czynnikiem, jaki ma znaczenie dla nałożenia kary, jest również kategoria danych osobowych, których dotyczy niewłaściwa praktyka administratora. Mogą być to tzw. dane zwykłe, jak imię, nazwisko czy adres. Naruszenie może jednak dotyczyć również danych o naszym zdrowiu, w których to często są informacje bardzo intymne.

Z jednej strony kary mogą być świadectwem tego, że w sferze ochrony dany osobowych nie dzieje się najlepiej, z drugiej jednak strony – poprzez swoją funkcję odstraszającą – mogą przyczynić się do poprawy sytuacji, ale też do wzrostu świadomości konsumentów.

- RODO nie funkcjonuje doskonale, ale nie jest martwym przepisem. Wiele podmiotów gospodarczych nadal nie dostosowało się do RODO i prowadzi wobec osób fizycznych działanie nielegalne, np. wymuszając od osób fizycznych zgody na otrzymywanie wiadomości handlowych. Jednak Polacy zwracają coraz większą uwagę na kwestie związane z ochroną ich danych osobowych i tylko od nas zależy, czy będziemy korzystali z ochrony, jaką proponuje nam ustawodawca. Coraz więcej osób zadaje sobie pytanie, gdzie trafiają ich dane osobowe zarówno podczas wykonywania pracy, jak i w trakcie życia prywatnego – podsumowuje Kacper Rączkowski.

×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

SŁOWA KLUCZOWE I ALERTY

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu

Podaj poprawny adres e-mail
W związku z bezpłatną subskrypcją zgadzam się na otrzymywanie na podany adres email informacji handlowych.
Informujemy, że dane przekazane w związku z zamówieniem newslettera będą przetwarzane zgodnie z Polityką Prywatności PTWP Online Sp. z o.o.

Usługa zostanie uruchomiania po kliknięciu w link aktywacyjny przesłany na podany adres email.

W każdej chwili możesz zrezygnować z otrzymywania newslettera i innych informacji.
Musisz zaznaczyć wymaganą zgodę

KOMENTARZE (2)

Do artykułu: Pierwsza kara za przetwarzanie danych osobowych. Spora

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!