- Do najczęstszych przyczyn nałożenia kary przez prezesa UODO należą m.in. wysłanie maila lub pisma na niewłaściwy adres, naruszenia związane z niewłaściwym zabezpieczeniem od strony IT.
- Karze może podlegać np. zgubienie sprzętu służbowego czy utrudnianie kontroli.
- W sytuacji, w której doszło do złamania przepisów o ochronie danych osobowych, prezes UODO podejmuje określone działania naprawcze, reagując odpowiednio do wagi konkretnego naruszenia.
Podstawę prawną działania prezesa Urzędu Ochrony Danych Osobowych stanowi ogólne rozporządzenie o ochronie danych RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
- Prezes UODO to niezależny organ, który odpowiada za ochronę danych osobowych i przestrzeganie prawa do prywatności - wskazuje radca prawny Justyna Pergałowska z firmy ODO 24. - Do jego obowiązków należy również dbanie o to, aby w razie naruszeń zostały zastosowane właściwe rozwiązania prawne i podjęte działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych. Jego działalność jest bardzo istotna, ponieważ rozpowszechnia w społeczeństwie wiedzę o ryzyku i zabezpieczeniach mających na celu ochronę prywatności każdego z nas - dodaje.
Czytaj też: Problemy z RODO? Wszystko co rekruterzy muszą wiedzieć
Przyczyny nałożenia kary mogą być różne. Do najczęstszych należą m.in. wysłanie maila lub pisma na niewłaściwy adres, naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hackerskie, zagubienie przez pracowników dokumentów, niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji, czy udostępnianie nagrań z monitoringu.
Jednak możemy również wyróżnić te mniej oczywiste np. wysłanie przez agenta ubezpieczeniowego polisy na błędnie podany przez klienta adres e-mail, co skutkowało doręczeniem jej do nieuprawnionego adresata czy wyciek niezabezpieczonych danych pozwalający na dostęp do bazy danych ponad 2 milionów klientów.
Kiedy dochodzi do naruszenia?
W sytuacji, w której doszło do złamania przepisów o ochronie danych osobowych, prezes UODO podejmuje określone działania naprawcze, reagując odpowiednio do wagi konkretnego naruszenia.
Czytaj też: 35 milionów euro kary dla H&M za inwigilację pracowników
- Wyciek danych może nieść za sobą przykre konsekwencje, jak np. zaciągnięcie przez oszusta kredytu na nasze nazwisko. Wycieki są szczególnie bolesne dla firm, dla których bardzo ważna jest reputacja, którą trudno zbudować, a bardzo łatwo stracić. Oprócz utraty wizerunku można otrzymać karę pieniężną. Jest ona nakładana w zależności od wagi naruszeń i oceny okoliczności konkretnej sprawy. Wówczas każdy przypadek jest badany indywidualnie. Nawet w przypadku dwóch podobnych zdarzeń, decyzja może być zupełnie inna. Decydują o tym specyficzne okoliczności związane z konkretnym przypadkiem – mówi Justyna Pergałowska.
Ogromne kwoty do zapłaty
W Polsce pierwsza kara za niezastosowanie się do wytycznych UODO miała miejsce w 2021 roku. Wyniosła ona ponad 85 tys. zł za niezastosowanie się przez przedsiębiorcę z branży medycznej do udzielanych przez UODO wskazówek.
Czytaj też: Były pracownik skopiował dane pacjentów. 85 tys. zł kary dla złamanie RODO
Co więcej, ostatnie lata pokazują coraz większą śmiałość prezesa UODO do nakładania wysokich kar pieniężnych za nieprzestrzeganie przepisów RODO. Przykładowo niezastosowanie przez KSSIP odpowiednich środków technicznych i organizacyjnych zapewniających poufność usług przetwarzania danych skutkowało karą w wysokości 100 tys. zł, z kolei Virgin Mobile Polska za naruszenie zasady poufności danych i rozliczalności zostało ukarane kwotą ponad 1 mln 968 tys. zł.
Innym przykładem jest kara na poziomie 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych na spółkę Enea. Najwyższa do tej pory kara pieniężna nałożona przez polski organ nadzoru wyniosła ponad 2 mln 830 tys. zł. Takie działanie UODO to skutek wycieku danych klientów sklepów internetowych prowadzonych przez Morele.net, które umożliwiło hakerom dostęp do bazy danych ponad 2 milionów klientów.
Konsekwencje nieprzestrzegania przepisów RODO ponoszą również instytucje publiczne - przykładem jest Główny Geodeta Kraju, który nie podejmował współpracy z Prezesem UODO oraz utrudniał kontrolę przestrzegania przepisów o ochronie danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych nałożył także ponad 21 tys. złotych kary na spółkę Anwara. Jego zdaniem spółka, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w czasie postępowania.
Ukarana przez UODO została również jeleniogórska spółka zajmująca się pośrednictwem pracy East Power. Musiała zapłacić 15 tys. zł. kary za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.
Karę w wysokości ponad 201 tys. zł zapłacić musi także agencja marketingowa ClickQuickNow. Urząd wskazywał, że nie tylko w procesie wycofania zgody nie uwzględniła zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie, a wręcz działała odwrotnie, tzn. stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne. Co więcej, przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc realizację prawa do żądania usunięcia danych osobowych (tzw. prawa do bycia zapomnianym).
Interesują Cię biura, biurowce, powierzchnie coworkingowe i biura serwisowane? Zobacz oferty na PropertyStock.pl
PODOBAŁO SIĘ? PODZIEL SIĘ NA FACEBOOKU
KOMENTARZE (1)