Ponad połowa firm nadal nie spełnia wymogów RODO - jakie mogą być tego konsekwencje?

Według najnowszego, opublikowanego przez Capgemini w październiku raportu Championing Data Protection and Privacy Report, nadal prawie 70% firm nie spełnia wymogów ustanowionych przez RODO. Dlaczego aż tyle przedsiębiorstw i spółek bagatelizuje przepisy? Jakie mogą być tego konsekwencje?

Prawidłowe przechowywanie i przetwarzanie danych osobowych, jeśli takimi dysponujemy, powinno odbywać się w zgodzie z zaleceniami opisanymi w RODO. Wiedzę na temat bezpieczeństwa danych można pozyskiwać samodzielnie, inna propozycja to szkolenie RODO lub zatrudnienie na etat osoby, która obejmie stanowisko inspektora ochrony danych. Praktyczna wiedza i umiejętność jej zastosowania w bieżących działaniach e-sklepu czy firmy pozwoli uniknąć kar za złamanie przepisów. Ich wysokość może opiewać na kwotę do 20 milionów euro lub 4% rocznego, światowego obrotu firmy, co powinno skutecznie zachęcić do edukacji i stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych.

Pierwsza w Polsce kara za naruszenie przepisów

Pierwsza kara, która została nałożona w Polsce na firmę łamiącą przepisy RODO, była szeroko komentowana. Powodem była wysokość kary – prawie milion złotych. W marcu 2019 roku jedna ze spółek z siedzibą w Warszawie została ukarana przez UODO za nieprawidłowe przetwarzanie danych osobowych. Wobec ponad 6 milionów rekordów, które znajdowały się w bazie spółki, nie został spełniony obowiązek informacyjny. Firma – drogą mailową – wysłała tę informację do grupy liczącej około 90 tysięcy osób, co jest zaledwie niewielkim ułamkiem całej bazy. Co istotne ponad 12 tysięcy osób w odpowiedzi na tę wiadomość złożyło sprzeciw wobec przetwarzania ich danych osobowych w celach marketingowych. Poza skontaktowaniem się z osobami, których adres mailowy figurował w bazie, warszawska spółka dodatkowo umieściła na ten temat informację na swojej stronie internetowej.

Spółka postanowiła powołać się na wyjątek opisany w artykule 14, punkcie 5 ogólnego rozporządzenia o ochronie danych osobowych. W tym fragmencie mowa o możliwości zrezygnowania z obowiązkowego informowania o przetwarzaniu danych osobowych w określonej sytuacji, to znaczy jeśli wymagałoby to niewspółmiernie dużego wysiłku, by spełnić obowiązek informacyjny. Warszawska spółka oszacowała, że wysłanie listownie takiej informacji do 6 milionów użytkowników byłoby niewspółmiernie dużym kosztem w porównaniu do zysków, jakie mogą osiągnąć z tego przedsięwzięcia. Firma ma prawo, by odwołać się od decyzji UODO do sądu administracyjnego, co wstrzyma wykonanie decyzji aż do momentu, gdy sąd wyda prawomocny wyrok przez sąd.

Kolejne kary w Polsce

Po tym pierwszym, precedensowym, przypadku pojawiły się kolejne – drugą karę UODO nałożył na związek sportowy. Za co? Powodem było upublicznienie w internecie danych osobowych kilkuset osób, którym związek przyznał licencje sędziowskie. Jako uzasadnienie Urząd Ochrony Danych Osobowych podał, że nie ma podstaw, by w takiej sytuacji upubliczniać tak szeroki zakres danych osobowych sędziów, jak miało to miejsce. Mowa tutaj o adresie zamieszkania i PESEL-u.

Wysokość kary UODO ustanowiło na kwotę 55 750,50 zł. Co ciekawe związek sportowy zdawał sobie sprawę z tego, że dokonał naruszeń i przez pół roku nie naprawił swojego błędu, dlatego właśnie przyznano mu karę. Trwało to od lipca 2018 roku, gdy związek sam zgłosił się do UODO, że na skutek niezamierzonego działania na stronie pojawiły się dokładne dane osobowe sędziów, którym przyznano licencje. Kolejnym krokiem w tej sprawie był styczeń 2019 roku – dane osobowe nadal były dostępne i każdy miał do nich wgląd. Mimo, że związek zapewniał, że zostaną usunięte ze strony, nie spełnił tej obietnicy, co finalnie zakończyło się nałożeniem kary.

Trzecią – rekordową jeśli chodzi o wysokość – karę, nałożono przez UODO na jeden ze sklepów internetowych. Wysokość? Aż 2,8 mln zł. Powód? Atak hakerski i wyciek danych klientów z października zeszłego – 2018 – roku, a precyzyjniej za to, że e-sklep nie był w stanie zapobiec temu atakowi. Haker uzyskał dane do 2,2 miliona kont użytkowników. W listopadzie osoby, których dane nielegalnie pozyskano, zaczęły otrzymywać wiadomości o konieczności dokonania dodatkowej opłaty z linkami do fałszywych bramek płatności. Dopiero ponad miesiąc po ataku e-sklep wydał oficjalne oświadczenie o tym zdarzeniu, co zbiegło się w czasie z upublicznieniem w internecie zdobytych nielegalnie danych.

Prawie rok po ataku hakerskim – we wrześniu 2019 roku – UODO nałożyło rekordową karę na e-sklep. Jako powód podał niewypełnienie obowiązku, polegającego na zastosowaniu skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelnienia. Ponadto również w uzasadnieniu UODO znalazł się również zapis o tym, że naruszone zostały zasady zgodności z prawem, rzetelności i rozliczalności w sytuacji przetwarzania danych osobowych z wniosków ratalnych – były to dane 35 tysięcy użytkowników.

Co ciekawe firma nie zgadza się z taką decyzją i zapowiada, że odwoła się do sądu administracyjnego i chce, by sprawę ponownie rozpatrzyli niezależni biegli. Pierwszy wniosek o powołanie niezależnego biegłego, który miałby ocenić poziom zabezpieczeń, został odrzucony, ale firma nadal będzie starać za pomocą wszelkich środków i możliwości, by się odwoływać. Reprezentanci marki zapewniają, że tuż po incydencie od razu podjęli współpracę z odpowiednimi służbami, atak został zgłoszony na policję oraz do UODO, a użytkownicy e-sklepu poinformowani o wycieku danych.

[Głosów:0    Średnia:0/5]

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here