26 Wrz

Czy kara dla Morele.net oznacza, że UODO będzie teraz nakładać wysokie kary pieniężne?

Nie ukrywajmy, najpierw milion złotych za niedopełnienie obowiązków informacyjnych, teraz prawie 3 miliony za nieskuteczne zabezpieczenie danych – to robi wrażenie. Jeżeli zestawimy to z karami innych europejskich organów, np. dla British Airways (ponad 200 mln euro), Marriott International (ponad 100 mln euro), Google Inc (ponad 50 mln euro), to człowiek zaczyna się zastanawiać, czy jest sens prowadzić biznes. Czy nie jest tak, że gdy zacznie mu się powodzić, to zaraz przyjdą do niego „po pieniądze”. Na marginesie kara nałożona na Morele.net jest w pierwszej 10 najwyższych kar pieniężnych nałożonych dotychczas przez europejskie organy nadzorcze.

Najniższe kary to raptem kilkaset euro. Warto zwrócić uwagę, że od początku bezwzględnego obowiązywania RODO, wszystkie europejskie organy nadzorcze nałożyły łącznie raptem 82 kary finansowe, z czego prawie 70% nie przekracza 50 tys. euro. Myślę, że nie przesadzę stwierdzając, że kary finansowe nie stanowią głównego narzędzia karania administratorów, gdyż skala ich nakładania jest niewielka. Szczególnie, jeżeli porównamy ją z liczbą postępowań prowadzonych przez organy. Prezes UODO w tylko w okresie 25 maja – 31 grudnia 2019 roku otrzymał ok. 4,5 tys. skarg. Dodatkowo prowadził postępowania zgodnie zapowiedzianym planem kontroli. Jak na skalę działalności, liczba nałożonych kar to raptem igła w stogu siana. Analizując same decyzje administracyjne wyraźnie widać, że organ stosuje przede wszystkim nakazy. Oczywiście każdy ma swoją cierpliwość i jeżeli nakaz nie zostanie właściwie zrealizowany przez administratora, może zakończyć się karą, jak to miało miejsce w przypadku Dolnośląskiego Związku Piłki Nożnej. W tym przypadku kara wyniosła „raptem” ok. 55 tys. złotych. Jest to najlepszy dowód na to, że wysokość kary jest proporcjonalna do przychodu administratora i mały podmiot nie otrzyma kary podobnej do tej nałożonej na Morele czy Google. Read More

12 Cze

Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych. Read More

27 Mar

Doczekaliśmy się pierwszej „kary RODO”

Wczoraj mój telefon rozgrzał się do czerwoności w związku z konferencją prasową, na której Pani Prezes UODO powiadomiła o nałożeniu pierwszej kary finansowej za przetwarzanie danych niezgodnie z przepisami prawa. Oczekiwania były takie, że kara zostanie nałożona na podmioty, o których było głośno w ostatnim czasie w związku z wykradzeniem im dużej ilości danych lub niewłaściwym zabezpieczeniem danych, które doprowadziły do ujawnienia danych osobowych klientów. Stąd duże zdziwienie wywołała informacja, że została nałożona kara za niewypełnienie obowiązków informacyjnych wobec osób, prowadzących działalność gospodarczą, których dane zostały pozyskane do bazy spółki z ogólnodostępnych źródeł (CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym). Zaskakujące było także to, że podczas konferencji Prezes UODO powiedziała, że kara wyniosła 943 tys. złotych! Pierwsza kara i od razu prawie milion złotych. Przyczyną nałożenia kary było niewypełnienie obowiązku informacyjnego z artykułu 14 RODO wobec przedsiębiorców, których dane z ogólnodostępnych źródeł zostały pozyskane do bazy. W sumie w bazie było około 6 milinów danych osób, które powinny otrzymać klauzulę informacyjną, jednak firma z ogólnodostępnych źródeł pozyskała adresy e-mail jedynie do 90 tys. Wobec tych osób, wypełniła obowiązek informacyjny, wysyłając wiadomość z odpowiednią klauzulą.  W przypadku pozostałych osób ukarana spółka postanowiła skorzystać z wyjątku z art. 14 pkt 5 lit b RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. W związku z tym zamieściła klauzulę jedynie na swojej stronie internetowej. Wśród poinformowanych, aż 12 tys. zgłosiło sprzeciw na przetwarzanie ich danych, co zdaniem Prezes UODO świadczyło o tym, jak istotne znaczenie dla pozostałych 6 milionów osób, było uzyskanie informacji o prawach przysługujących w związku z przetwarzaniem ich danych. Dodatkowo w bazie było ponad 2,33 mln danych przedsiębiorców, którzy zawiesili działalność. Spółka ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego. Read More

26 Sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się  na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa. Read More