26 sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się  na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa.

Obowiązująca obecnie ustawa o ochronie danych osobowych przewiduje kary w postaci grzywny, ograniczenia wolności oraz pozbawienia wolności. Katalog zdarzeń i kar opisują art. 49 – 54a ustawy. Administrator może zawinić przetwarzając dane nielegalnie (np. bez zgody osoby, której dane dotyczą), nie zabezpieczając ich właściwie, umożliwiając do nich wgląd lub dostęp osobom nieupoważnionym, a także poprzez niewypełnienie obowiązku informacyjnego. Ustawa przewiduje także kary za niezgłoszenie zbioru danych do rejestru GIODO (tu zaznaczam, że nie każdy zbiór podlega zgłoszeniu, katalog wyłączeń jest w art. 43) oraz poprzez utrudnianie lub uniemożliwianie kontroli uprawnionym organom.

Moim zdaniem słabą stroną obecnych przepisów jest to, że w przypadku ich naruszenia, kara wynika z  postępowania prowadzonego na wniosek lub z urzędu przez prokuraturę. Na podstawie zebranych dowodów podejmuje ona decyzję o umorzeniu lub postawieniu zarzutów. W praktyce zdecydowanie za często sprawy są umarzane, ze względu na niską szkodliwość czynu. Swoje negatywne stanowisko w tej sprawie wyraziła dr Edyta Bielak Jomma, aktualny GIODO, w piśmie z 9 lipca 2015 roku do Prokuratora Generalnego:

(…) Analiza rozstrzygnięć podejmowanych przez organy powołane do ścigania przestępstw w sprawach dotyczących naruszenia przepisów karnych ustawy o ochronie danych osobowych nasuwa uzasadnione wątpliwości, co do poprawnej interpretacji przez te organy przepisów o ochronie danych osobowych, jak również innych ustaw jak np. ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2013 r., poz. 1422, z późn. zm). Ponadto nie są wykorzystywane wszystkie instrumenty procesowe, którymi dysponują organy ścigania. Dokonywana jest niejednokrotnie, jak należy przypuszczać, pobieżna analiza takich spraw i nieprawidłowa wykładnia przepisów, w tym definicji ustanowionych przepisami ustawy o ochronie danych osobowych. (…)

Prokuratura nie ma ograniczeń w zakresie wysokości przyznawania kar za naruszenia poufności, integralności oraz rozliczalności danych. Ale jak widać z powyższego przykładu oraz z samego faktu, że w mediach nie mówi się o ogromnych karach finansowych za „wyciek danych” (a jest to temat medialny), łatwo wywnioskować, że kary o ile są przyznawane, nie należą do dotkliwie wysokich.

Sam GIODO ma w swoim arsenale „jedynie” karę grzywny, za nie wypełnienie jego decyzji administracyjnej (GIODO nakazuje przywrócenie stanu zgodnego z prawem, np. poprzez usunięcie wszystkich baz marketingowych w drodze decyzji administracyjnej). Maksymalna grzywna wynosi 50 tysięcy złotych. Jeżeli administrator danych dalej działa wbrew decyzji, kara może wynieść do 200 tysięcy złotych.

I teraz wisienka na torcie: nie ma znaczenia, czy jest to duży, czy mały podmiot, nie ma znaczenia, czy jest to firma zajmująca się tylko przetwarzaniem danych, a naruszenie było na ogromną skalę, czy mała gminna biblioteka. Maksymalna kara jest podobna. Dla małej firmy lub podmiotu kara w wysokości 50 lub 200 tysięcy jest dotkliwa, a nawet może skończyć się bankructwem (dodajmy utratę wizerunku i zaufania publicznego). A dla dużej spółki? To tylko malutki procent, który wrzuci sobie w koszty. Naprawdę kara 200 tysięcy złotych dla banku, czy firmy telekomunikacyjnej jest niczym przy jej wielomilionowych (miliardowych) budżetach. Kary grzywny nakładane przez GIODO są za niskie. Zmieni to ogólne rozporządzenie o ochronie danych osobowych, które będzie uzależniało karę od wysokości przychodów (międzynarodowych). Dzięki temu będzie można mówić o skutecznym wyciąganiu konsekwencji wobec winnych naruszeń przepisów.

Dodatkowo zostanie zmieniona forma zgłaszania skarg do organu nadzorującego (uważam za absurd, że wymaga to dokonania opłaty skarbowej) oraz osobom pokrzywdzonym będzie przysługiwać zadośćuczynienie wypłacane przez winnego naruszenia administratora danych (obecnie mają jedynie sądowną możliwość dochodzenia zadośćuczynienia tytułem naruszenia dóbr osobistych, co przy cyberprzestępstwach jest bardzo trudne).

Wracając do wspomnianej na początku firmy z UK. Warto napisać, że nie była to mała firemka prowadzona przez biednego Kowalskiego, a ogromna firma ubezpieczeniowa będąca częścią międzynarodowej grupy kapitałowej (konkretnie Royal & Sun Alliance Insurance PLC). Naruszenie polegało na wykradzeniu z siedziby spółki danych osobowych w zakresie umożliwiającym kradzież tożsamości ponad 60 tysięcy klientów. Spółka miała możliwości finansowe, techniczne oraz organizacyjne, żeby zabezpieczyć dane przed kradzieżą oraz na wypadek kradzieży (poprzez szyfrowanie danych), jednak nie skorzystała z nich. Jeżeli przeliczymy wysokość kary na liczbę pokrzywdzonych wychodzi 2,5 funta na osobę. Czyż to nie jest śmiesznie mało?


miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


Data aktualizacji: 3 czerwca 2018