Technologie » Internet

Pierwsza w Polsce kara za złamanie przepisów RODO - jak ustrzec się kolejnych?

Pierwsza w Polsce kara za złamanie przepisów RODO - jak ustrzec się kolejnych?
Zobacz więcej zdjęć »
Stało się - po raz pierwszy w Polsce na firmę została nałożona kara za złamanie przepisów RODO. Jej wysokość? Aż 943 tysięcy złotych. Jakich zapisów rozporządzenia nie przestrzegano oraz jaką lekcję mogą wyciągnąć z tego inne firmy, by ustrzec się podobnych sytuacji w przyszłości?

Dlaczego przepisów RODO w IT, a także wszystkich innych branżach, które przechowują i przetwarzają dane osobowe podmiotów, należy przestrzegać? Odpowiednia konfiguracja systemów informatycznych oraz dopasowanie procesów do obowiązujących od maja 2018 roku przepisów pozwoli uchronić administratorów danych osobowych przed finansowymi konsekwencjami.



Na kogo nałożono karę?

Pod koniec marca 2019 roku UODO - czyli Urząd Ochrony Danych Osobowych - pierwszy raz w Polsce od momentu wejścia w życie RODO nałożył na jakiś podmiot karę. Nie ujawnił on nazwy ukaranej spółki, jednak ta informacja szybko przedostała się do mediów - mowa o Bisnode AB. Szwedzka firma, zajmująca się przechowywaniem i przetwarzaniem danych, została oskarżona o to, że nie dopełniła obowiązku poinformowania o przetwarzaniu danych osobowych podmiotów, których - na podstawie m.in. Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Centralnej Ewidencji Pojazdów i Kierowców oraz zestawień Głównego Urzędu Statystycznego - dane przetwarzała i na ich podstawie stworzyła bazę, umożliwiającą weryfikację wiarygodności tych podmiotów.



Powód kary

Obowiązek informacyjny został dopełniony wyłącznie wobec 90 tysięcy osób, z których 12 tysięcy nie wyraziło zgody na przetwarzanie ich danych. Baza Bisnode AB liczy ponad 6 milionów podmiotów, więc zaledwie ułamek osób został poinformowany, zgodnie z zaleceniami znajdującymi się w RODO. Jakie są konsekwencje niepoinformowania podmiotów o przetwarzaniu ich danych? Osoby znajdujące się w bazie nie mogły zrealizować prawa im przysługującego do wysunięcia żądania usunięcia danych lub sprostowanie danych osobowych.

Tylko niektóre osoby, które podały w CEIDG swój adres e-mail, właśnie tą drogą otrzymały niezbędną w kontekście ustaleń wynikających z RODO informację. Co z pozostałymi podmiotami? Szwedzka spółka powołuje się na artykuł 14 punkt 5 literę b rozporządzenia. Z tego fragmentu wynika, że udzielenie informacji o przetwarzaniu danych osoby, od której je pozyskano, nie ma zastosowania, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.



Wysokość kwoty - na jakiej podstawy jest ustalana?

Skąd wzięła się tak gigantyczna kwota - prawie milion złotych? W sytuacji, gdy przepisy wynikające z RODO nie zostały zastosowane, pod uwagę bierze się wiele czynników, obliczając finalną kwotę kary. Jakie to czynniki? Eksperci z UODO odwołują się przede wszystkim do charakteru i wagi naruszenia, liczby poszkodowanych podmiotów, celu przetwarzania danych i innych  - w sumie jest to 11 czynników. Ważnym kryterium, podczas ustalania wysokości kary, jest charakter tego incydentu - umyślny lub nieumyślny.

Jaka jest maksymalna kwota kary, którą można nałożyć na firmę nieprzestrzegającą przepisów? Według Ustawy o ochronie danych osobowych, dopasowanej do obowiązujących od maja 2018 roku przepisów RODO, za naruszenie warunków wyrażenia zgody na przetwarzanie danych na firmę można nałożyć karę do 20 milionów euro lub 4% wartości ich rocznego światowego obrotu.



Ocena zarzutów

Czy zarzuty są słuszne? Decyzja UODO wzbudziła wiele kontrowersji. Wiele osób przewiduje, że interpretacja Urzędu Ochrony Danych Osobowych nie utrzyma się w sądzie. Jakie są argumenty przemawiające na niekorzyść tej interpretacji? Marka Bisnode oszacowała, że koszt wysłania informacji do całej bazy wyniósłby około 30 milionów złotych. W przypadku tak dużego - wielomilionowego - obciążenia, które można uznać za nadmierne (art. 14 RODO), firmy mogą być zwolnione z obowiązku informacyjnego.



Jak uchronić się przed takimi sytuacjami?

Podstawa to znajomość przepisów oraz ich przestrzeganie. Wydaje się to dość banalne, ale - jak widać po pierwszej karze nałożonej w Polsce na szwedzką spółkę - próby ominięcia niektórych zapisów RODO lub błędna ich interpretacja (lub nadinterpretacja) przynieść może poważne konsekwencje i ogromne kary finansowe. Eksperci z UODO radzą, by nieustannie dbać o poprawę jakości ochrony danych osobowych, opracowywać lepsze rozwiązania i procedury w zakresie ich przetwarzania oraz przechowywania. Warto trzymać rękę na pulsie i - nawet po wdrożeniu stosownych przepisów - śledzić nowelizacje, wyroki sądów i interpretacje. Odpowiednio szybka reakcja i właściwa ocena ryzyka pozwoli uchronić firmę oraz jej finanse przed poważnymi konsekwencjami.

Zdjęcie pochodzi z serwisu Fotolia



Redakcja CentrumPR informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja CentrumPR nie ponosi odpowiedzialności za ich treść.

Nadesłał:

slawek

Komentarze (0)


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl
Opublikuj własny artykuł
Zamów opracowanie informacji prasowej


Kalendarium

Przejdź do kalendarium »

dodaj wydarzenie »

Ostatnio dodane artykuły

dodaj artykuł »