RODO w praktyce. Za co firma może zostać ukarana? | Prawo pracy

Każda osoba fizyczna ma prawo do ochrony swoich danych osobowych. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Ma on prawo przeprowadzić kontrolę w każdej organizacji – zarówno z sektora prywatnego, jak i publicznego. Za co może nałożyć karę? Są firmy, które przekonały się o tym na własnej skórze.

Autor: jk
•18 mar 2021 15:18

Skomentuj (1)

RODO w praktyce. Za co firma może zostać ukarana?

Prezes UODO to niezależny organ, który odpowiada za ochronę danych osobowych i przestrzeganie prawa do prywatności (Fot. Shutterstock)

REKLAMA

Do najczęstszych przyczyn nałożenia kary przez prezesa UODO należą m.in. wysłanie maila lub pisma na niewłaściwy adres, naruszenia związane z niewłaściwym zabezpieczeniem od strony IT.
Karze może podlegać np. zgubienie sprzętu służbowego czy utrudnianie kontroli.
W sytuacji, w której doszło do złamania przepisów o ochronie danych osobowych, prezes UODO podejmuje określone działania naprawcze, reagując odpowiednio do wagi konkretnego naruszenia.

Podstawę prawną działania prezesa Urzędu Ochrony Danych Osobowych stanowi ogólne rozporządzenie o ochronie danych RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

- Prezes UODO to niezależny organ, który odpowiada za ochronę danych osobowych i przestrzeganie prawa do prywatności - wskazuje radca prawny Justyna Pergałowska z firmy ODO 24. - Do jego obowiązków należy również dbanie o to, aby w razie naruszeń zostały zastosowane właściwe rozwiązania prawne i podjęte działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych. Jego działalność jest bardzo istotna, ponieważ rozpowszechnia w społeczeństwie wiedzę o ryzyku i zabezpieczeniach mających na celu ochronę prywatności każdego z nas - dodaje.

Interesują Cię biura, biurowce, powierzchnie coworkingowe i biura serwisowane? Zobacz oferty na PropertyStock.pl

Czytaj też: Problemy z RODO? Wszystko co rekruterzy muszą wiedzieć

Przyczyny nałożenia kary mogą być różne. Do najczęstszych należą m.in. wysłanie maila lub pisma na niewłaściwy adres, naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hackerskie, zagubienie przez pracowników dokumentów, niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji, czy udostępnianie nagrań z monitoringu.

Jednak możemy również wyróżnić te mniej oczywiste np. wysłanie przez agenta ubezpieczeniowego polisy na błędnie podany przez klienta adres e-mail, co skutkowało doręczeniem jej do nieuprawnionego adresata czy wyciek niezabezpieczonych danych pozwalający na dostęp do bazy danych ponad 2 milionów klientów.

Kiedy dochodzi do naruszenia?

CZYTAJ WIĘCEJ

W sytuacji, w której doszło do złamania przepisów o ochronie danych osobowych, prezes UODO podejmuje określone działania naprawcze, reagując odpowiednio do wagi konkretnego naruszenia.

Czytaj też: 35 milionów euro kary dla H&M za inwigilację pracowników

- Wyciek danych może nieść za sobą przykre konsekwencje, jak np. zaciągnięcie przez oszusta kredytu na nasze nazwisko. Wycieki są szczególnie bolesne dla firm, dla których bardzo ważna jest reputacja, którą trudno zbudować, a bardzo łatwo stracić. Oprócz utraty wizerunku można otrzymać karę pieniężną. Jest ona nakładana w zależności od wagi naruszeń i oceny okoliczności konkretnej sprawy. Wówczas każdy przypadek jest badany indywidualnie. Nawet w przypadku dwóch podobnych zdarzeń, decyzja może być zupełnie inna. Decydują o tym specyficzne okoliczności związane z konkretnym przypadkiem – mówi Justyna Pergałowska.

Ogromne kwoty do zapłaty

W Polsce pierwsza kara za niezastosowanie się do wytycznych UODO miała miejsce w 2021 roku. Wyniosła ona ponad 85 tys. zł za niezastosowanie się przez przedsiębiorcę z branży medycznej do udzielanych przez UODO wskazówek.

Czytaj też: Były pracownik skopiował dane pacjentów. 85 tys. zł kary dla złamanie RODO

Co więcej, ostatnie lata pokazują coraz większą śmiałość prezesa UODO do nakładania wysokich kar pieniężnych za nieprzestrzeganie przepisów RODO. Przykładowo niezastosowanie przez KSSIP odpowiednich środków technicznych i organizacyjnych zapewniających poufność usług przetwarzania danych skutkowało karą w wysokości 100 tys. zł, z kolei Virgin Mobile Polska za naruszenie zasady poufności danych i rozliczalności zostało ukarane kwotą ponad 1 mln 968 tys. zł.

Innym przykładem jest kara na poziomie 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych na spółkę Enea. Najwyższa do tej pory kara pieniężna nałożona przez polski organ nadzoru wyniosła ponad 2 mln 830 tys. zł. Takie działanie UODO to skutek wycieku danych klientów sklepów internetowych prowadzonych przez Morele.net, które umożliwiło hakerom dostęp do bazy danych ponad 2 milionów klientów.

Konsekwencje nieprzestrzegania przepisów RODO ponoszą również instytucje publiczne - przykładem jest Główny Geodeta Kraju, który nie podejmował współpracy z Prezesem UODO oraz utrudniał kontrolę przestrzegania przepisów o ochronie danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych nałożył także ponad 21 tys. złotych kary na spółkę Anwara. Jego zdaniem spółka, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w czasie postępowania.

Ukarana przez UODO została również jeleniogórska spółka zajmująca się pośrednictwem pracy East Power. Musiała zapłacić 15 tys. zł. kary za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

Karę w wysokości ponad 201 tys. zł zapłacić musi także agencja marketingowa ClickQuickNow. Urząd wskazywał, że nie tylko w procesie wycofania zgody nie uwzględniła zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie, a wręcz działała odwrotnie, tzn. stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Co więcej, przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc realizację prawa do żądania usunięcia danych osobowych (tzw. prawa do bycia zapomnianym).

PODOBAŁO SIĘ? PODZIEL SIĘ NA FACEBOOKU

Słowa kluczowe

Więcej

KOMENTARZE (1)

Do artykułu: RODO w praktyce. Za co firma może zostać ukarana?

Głupich nie sieją. 2021-03-19 09:18:46
Nałożył karę na Morele.net, bo "umożliwiło hakerom dostęp do bazy danych ponad 2 milionów klientów."!!! Mało tego, że dzisiaj złodziej jest w lepszej sytuacji prawnej niż okradziony, to pewnie już niedługo możemy się spodziewać prawa, które będzie karało okradzionego za to, że umożliwił złodziejowi kradzież!!! Ale kobiety niech się nie cieszą, bo jeśli (nie daj Boże, ale nie feministkom) zostaną zgwałcone, to pójdą siedzieć za to, że umożliwiły gwałcicielowi dokonanie gwałtu! Może jeszcze będą zmuszone do wynagrodzenia mu strat moralnych? Jednak nie tylko kobiety, lecz każdego może spotkać podobna sytuacja i np. ktoś, komu złamią szczękę będzie musiał zapłacić napastnikowi odszkodowanie za zdarty naskórek z pięści! Socjalizm ma schowane w zanadrzu jeszcze nie takie "sztuki", więc głosujcie na socjalistów, jak do tej pory!
- Odpowiedz
- Oceń 0 0 Oceń