Facebook

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Rekordowa kara za naruszenie ochrony danych osobowych
POLECAMY
A A A  drukuj artykuł

Rekordowa kara za naruszenie ochrony danych osobowych

Gazeta Podatkowa nr 29 (1904) z dnia 11.04.2022
Marta Stefanowicz - Wasilewska

W lutym 2022 r. Urząd Ochrony Danych Osobowych nałożył na administratora danych rekordową karę finansową w wysokości 4,9 mln zł. Co istotne w tej sprawie, samo naruszenie ochrony danych osobowych miało miejsce w podmiocie przetwarzającym, z którym ukarana spółka miała zawartą umowę powierzenia, a o naruszeniu dowiedziała się od osób trzecich. UODO uznał jednak, że na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Nie jest to działanie jednorazowe i powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

Pierwsza tak wysoka kara

Nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł jest pierwszą tak wysoką karą. Na drugim miejscu plasuje się kara w wysokości 2,8 mln zł. Nałożono ją na spółkę za brak zastosowania środków organizacyjnych i technicznych ochrony danych osobowych odpowiednich do istniejącego ryzyka związanego z przetwarzaniem danych, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. W tym przypadku zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Zdarzają się też niższe kary jak ta w wysokości 12 tys. zł za brak współpracy z UODO, poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji.

Prezes UODO oprócz kar pieniężnych może nakładać inne środki mobilizujące administratorów danych. Tak też się stało w przypadku szkoły, która otrzymała karę upomnienia za przetwarzanie bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem wśród nich ankiety. Ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę. Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie upomnienia. Za okoliczność łagodzącą uznano niezamierzony charakter naruszenia.

Wracając do najwyższej na chwilę obecną kary, to została on nałożona na administratora danych (spółkę) za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Sam podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł. Postępowanie zostało wszczęte z urzędu, a naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy. UODO zwrócił uwagę, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy w zakresie powszechnie stosowanych praktyk podczas wprowadzania zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. UODO uznał, że wysokość kary jest proporcjonalna do naruszenia oraz właściwa w stosunku do obrotów, jakie generuje spółka, więc nie będzie dla niej dotkliwa, mimo jej wysokości.

Wysokie kary wynikające z RODO

RODO w art. 83 wprowadza wysokie kary za naruszenie jego przepisów. Przykładowo stanowi, że administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega brak wdrożenia przez administratora lub podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzanych danych osobowych, brak rejestrowania czynności przetwarzania czy też niezgłoszenie naruszeń ochrony danych do organu nadzorczego. Administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in. naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody od osób, których dane są przetwarzane. Przy czym, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. W Polsce jedynym organem uprawnionym do nakładania takich kar jest Prezes UODO.

Nie tylko kary pieniężne

Kary pieniężne nie są jedynymi środkami, które mogą być stosowane przez PUODO. RODO przewiduje również inne środki, które mogą być wykorzystywane zamiast kary pieniężnej lub razem z nią. Środki naprawcze zostały opisane w art. 58 ust. 2 lit. a)-h) oraz lit. j) RODO. Takimi środkami mogą być m.in.:

  • wydanie ostrzeżenia administratorowi lub podmiotowi przetwarzającemu dotyczącego możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania,
  • udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania,
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO,
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, PUODO bierze pod uwagę:

- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25art. 32 RODO,
- wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO - przestrzeganie tych środków,
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Więcej na ten temat w zasobach płatnych:

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.