Wejście w życie RODO przyczyniło się do zwiększenia świadomości obywateli UE w zakresie ochrony danych osobowych, a co za tym idzie wzrostu liczby skarg, pytań oraz zgłoszeń naruszenia ochrony danych osobowych, otrzymywanych przez krajowe organy nadzorcze.

Niemal trzy czwarte respondentów zna co najmniej jedno z praw gwarantowanych przez RODO, a prawie 6 na 10 osób wie o istnieniu organu władzy publicznej odpowiedzialnego za ochronę praw w obszarze danych osobowych. W ciągu roku obowiązywania RODO organy nadzorcze państw członkowskich UE otrzymały blisko 90 tysięcy zgłoszeń incydentów.

Naruszenie ochrony danych

Naruszenie ochrony danych osobowych to działanie lub zaniechanie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Przy braku odpowiedniej i szybkiej reakcji może skutkować utratą kontroli nad informacjami, ograniczeniem praw, dyskryminacją, kradzieżą lub sfałszowaniem tożsamości, a nawet stratą finansową.

Ryzyko naruszenia powinno być oceniane na bieżąco przez administratora danych osobowych (ADO) oraz podmiot przetwarzający (PP), przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania. Zarówno ADO, jak i PP mają obowiązek wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne tak, by od razu stwierdzić wystąpienie niebezpieczeństwa.

Postępowanie w razie naruszenia ochrony danych

W przypadku naruszenia ochrony danych osobowych, PP powinien powiadomić o zajściu ADO, który bez zbędnej zwłoki – w miarę możliwości, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – ma obowiązek zgłosić incydent organowi nadzorczemu. ADO może odstąpić od zgłoszenia, jeżeli zdoła wykazać, że jest mało prawdopodobne, by zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (podmioty danych). Jeżeli wskazane ryzyko jest wysokie, poza zgłoszeniem, ADO ma obowiązek zawiadomić podmioty danych o zagrożeniu. Co ważne, komunikat ADO powinien być sformułowany jasnym, prostym językiem.

ADO powinien dokumentować incydenty, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Kary pieniężne

Niedopełnienie wskazanych obowiązków przez ADO i PP może skutkować nałożeniem przez organ nadzorczy kary pieniężnej w wysokości do 10 milionów euro lub do 2% całkowitego rocznego obrotu ADO lub PP z poprzedniego roku obrotowego.

Podejmując decyzję o nałożeniu kary pieniężnej, organ nadzorczy bierze pod uwagę między innymi:

• charakter, wagę oraz czas trwania incydentu,
• czy naruszenie było umyślne,
• w jaki sposób organ nadzorczy dowiedział się o zagrożeniu,
• jakie działania podjął ADO i PP dla zminimalizowania szkody,
• czy ADO i PP dopuszczali się wcześniej naruszeń ochrony danych osobowych.

Jeżeli naruszenie było niewielkie lub kara pieniężna stanowiłaby nieproporcjonalne obciążenie, organ nadzorczy może odstąpić od jej nałożenia i zamiast tego udzielić upomnienia.

Zgodnie z RODO każde państwo członkowskie UE może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne. I tak, w myśl polskich przepisów prawa organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć kary pieniężne w wysokości do 100 000,00 złotych między innymi na instytuty badawcze oraz Narodowy Bank Polski.

W 2019 r. PUODO wydał decyzje o nałożeniu kary pieniężnej:

1. na Dolnośląski Związek Piłki Nożnej w wysokości 55 750,50 złotych za opublikowanie na stronie internetowej numerów PESEL oraz adresów zamieszkania osób, którym przyznano licencje sędziowskie w 2015 r. (pełna treść decyzji),
2. na spółkę z ograniczoną odpowiedzialnością w wysokości 943 470,00 złotych za niespełnienie obowiązku informacyjnego wobec około 6 milionów podmiotów danych, prowadzących jednoosobową działalność gospodarczą (pełna treść decyzji).

CMS Hasche Sigle prowadzi on-line rejestr kar pieniężnych nakładanych przez europejskie organy nadzorcze. Zgodnie z informacjami zawartymi w zestawieniu, dotychczas najwyższa kara pieniężna za naruszenie ochrony danych osobowych w wysokości 204 600,00 euro (867 milionów złotych) zostanie nałożona przez brytyjski organ nadzorczy – Information Commissioner’s Office (ICO) na linię lotniczą British Airways za wyciek danych osobowych 500 tysięcy pasażerów, do którego doszło w 2018 r. (postępowanie nadal trwa).  

---

Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.