Ochrona danych / 20 sierpnia 2019 przez Beata Walczyna-Szydełko
Wejście w życie RODO przyczyniło się do zwiększenia świadomości obywateli UE w zakresie ochrony danych osobowych, a co za tym idzie wzrostu liczby skarg, pytań oraz zgłoszeń naruszenia ochrony danych osobowych, otrzymywanych przez krajowe organy nadzorcze.
Niemal trzy czwarte respondentów zna co najmniej jedno z praw gwarantowanych przez RODO, a prawie 6 na 10 osób wie o istnieniu organu władzy publicznej odpowiedzialnego za ochronę praw w obszarze danych osobowych. W ciągu roku obowiązywania RODO organy nadzorcze państw członkowskich UE otrzymały blisko 90 tysięcy zgłoszeń incydentów.
Naruszenie
ochrony danych
Naruszenie
ochrony danych osobowych to działanie lub zaniechanie prowadzące do
przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania,
nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych,
przechowywanych lub przetwarzanych w inny sposób. Przy braku odpowiedniej i
szybkiej reakcji może skutkować utratą kontroli nad informacjami, ograniczeniem
praw, dyskryminacją, kradzieżą lub sfałszowaniem tożsamości, a nawet stratą
finansową.
Ryzyko
naruszenia powinno być oceniane na bieżąco przez administratora danych
osobowych (ADO) oraz podmiot przetwarzający (PP), przy uwzględnieniu charakteru,
zakresu, kontekstu i celów przetwarzania. Zarówno ADO, jak i PP mają obowiązek
wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne tak, by od razu
stwierdzić wystąpienie niebezpieczeństwa.
Postępowanie
w razie naruszenia ochrony danych
W
przypadku naruszenia ochrony danych osobowych, PP powinien powiadomić o zajściu
ADO, który bez zbędnej zwłoki – w miarę możliwości, nie później niż w ciągu 72
godzin po stwierdzeniu naruszenia – ma obowiązek zgłosić incydent organowi
nadzorczemu. ADO może odstąpić od zgłoszenia, jeżeli zdoła wykazać, że jest
mało prawdopodobne, by zdarzenie skutkowało ryzykiem naruszenia praw lub
wolności osób fizycznych (podmioty danych). Jeżeli wskazane ryzyko jest
wysokie, poza zgłoszeniem, ADO ma obowiązek zawiadomić podmioty danych o
zagrożeniu. Co ważne, komunikat ADO powinien być sformułowany jasnym, prostym
językiem.
ADO
powinien dokumentować incydenty, w tym okoliczności naruszenia ochrony danych
osobowych, jego skutki oraz podjęte działania zaradcze.
Kary
pieniężne
Niedopełnienie
wskazanych obowiązków przez ADO i PP może skutkować nałożeniem przez organ
nadzorczy kary pieniężnej w wysokości do 10 milionów euro lub do 2% całkowitego
rocznego obrotu ADO lub PP z poprzedniego roku obrotowego.
Podejmując
decyzję o nałożeniu kary pieniężnej, organ nadzorczy bierze pod uwagę między
innymi:
- charakter,
wagę oraz czas trwania incydentu,
- czy
naruszenie było umyślne,
- w
jaki sposób organ nadzorczy dowiedział się o zagrożeniu,
- jakie
działania podjął ADO i PP dla zminimalizowania szkody,
- czy
ADO i PP dopuszczali się wcześniej naruszeń ochrony danych osobowych.
Jeżeli
naruszenie było niewielkie lub kara pieniężna stanowiłaby nieproporcjonalne
obciążenie, organ nadzorczy może odstąpić od jej nałożenia i zamiast tego
udzielić upomnienia.
Zgodnie
z RODO każde państwo członkowskie UE może określić, czy i w jakim zakresie
administracyjne kary pieniężne można nakładać na organy i podmioty publiczne. I
tak, w myśl polskich przepisów prawa organ nadzorczy – Prezes Urzędu Ochrony
Danych Osobowych (PUODO) może nałożyć kary pieniężne w wysokości do
100 000,00 złotych między innymi na instytuty badawcze oraz Narodowy Bank
Polski.
W 2019 r. PUODO wydał decyzje o nałożeniu kary pieniężnej:
- na Dolnośląski Związek Piłki Nożnej w wysokości 55 750,50 złotych za opublikowanie na stronie internetowej numerów PESEL oraz adresów zamieszkania osób, którym przyznano licencje sędziowskie w 2015 r. (pełna treść decyzji),
- na spółkę z ograniczoną odpowiedzialnością w wysokości 943 470,00 złotych za niespełnienie obowiązku informacyjnego wobec około 6 milionów podmiotów danych, prowadzących jednoosobową działalność gospodarczą (pełna treść decyzji).
CMS Hasche Sigle prowadzi on-line rejestr kar pieniężnych nakładanych przez europejskie organy nadzorcze. Zgodnie z informacjami zawartymi w zestawieniu, dotychczas najwyższa kara pieniężna za naruszenie ochrony danych osobowych w wysokości 204 600,00 euro (867 milionów złotych) zostanie nałożona przez brytyjski organ nadzorczy – Information Commissioner’s Office (ICO) na linię lotniczą British Airways za wyciek danych osobowych 500 tysięcy pasażerów, do którego doszło w 2018 r. (postępowanie nadal trwa).
Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.