W ubiegłym roku do Urzędu Ochrony Danych Osobowych trafiło ponad 6 tys. zgłoszeń o naruszeniu przepisów RODO. Ich liczba może w tym roku wzrosnąć – eksperci przewidują m.in. więcej reakcji na wysyłanie niezamówionych maili. W 2019 r. nałożono kary finansowe za naruszenia przepisów o RODO na łączną kwotę ponad 4 mln zł. Najgorzej chronione są imię i nazwisko (44 proc. naruszeń) oraz adres e-mail (20 proc. naruszeń) Najwięcej incydentów (89 proc.) to efekt błędu ludzkiego, takiego jak np. źle zaadresowane maile, zgubienie dokumentacji itp. podaje Business Insider Polska.
W 2019 r. prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył kary finansowe za naruszenia przepisów o ochronie danych osobowych (RODO) na ośmiu administratorów takich danych, w tym siedmiu z firm prywatnych i jednego z sektora publicznego, na łączną kwotę ponad 4 mln zł. Najwyższą jak dotąd karę w Polsce, przekraczającą 2,8 mln zł, nałożono na spółkę Morele.net za niewystarczające zabezpieczenia danych osobowych, do których włamano się w 2018 r. – W efekcie dane ok. 2, 2 mln. osób dostały się w niepowołane ręce – mówi Adam Sanocki, rzecznik UODO.
Większość skradzionych danych zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Wyciekły też dane ok. 35 tys. osób z ich wnioskami ratalnymi, które obejmowały numery PESEL, adres zameldowania czy informacje o wykształceniu, źródłach dochodu, wysokości zobowiązań kredytowych, a nawet alimentacyjnych.
Daleko do górnych limitów
Z raportu opublikowanego przez Związek Firm Ochrony Danych Osobowych wynika, że najgorzej chronione są imię i nazwisko (44 proc. naruszeń) oraz adres e-mail (20 proc. naruszeń). Najwięcej incydentów (89 proc.) to efekt błędu ludzkiego, takiego jak np. źle zaadresowane maile, zgubienie dokumentacji itp., a tylko 11 proc. zdarzeń wynikało z przyczyn nieosobowych, np. awarii systemu albo celowego działania (kradzież danych, wyłudzanie informacji itd.).
Górne, ustawowe limity kar sięgają 20 mln euro dla przedsiębiorstw i 100 tys. zł wobec jednostek publicznych. Do tej pory UODO nie wydał jednak postanowień o tak wysokich grzywnach. Oprócz wspomnianego wcześniej przypadku Morele.net, pozostałe kary nie przekraczają 1 mln zł, aczkolwiek blisko tego pułapu oscylowała grzywna nałożona na Bisnode Polska, w wysokości ok. 943,5 tys. zł. – Powodem jej nałożenia było niedopełnienie obowiązku informacyjnego wobec bardzo dużej liczby osób, których dane przetwarzał administrator – wyjaśnia Adam Sanocki.
Grzywnę w wysokości ponad 201 tys. zł, prezes UODO nałożył także na spółkę ClickQuickNow, m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Z kolei Dolnośląski Związek Piłki Nożnej za zbyt szerokie upublicznienie w sieci danych osobowe sędziów, którym przyznano licencje sędziowskie (imiona, nazwiska, adresy zamieszkania, numery PESEL), dostał 55,8 mln zł kary, a 40 tys. zł za nieprzestrzeganie RODO musiał zapłacić burmistrz Aleksandrowa Kujawskiego.
To zresztą pierwsza taka kara dla podmiotu publicznego. Jednym z powodów jej nałożenia był brak zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. – Oprócz tych kar, prezes UODO nałożył jeszcze trzy kolejne, na spółdzielnie mieszkaniową (2 tys. zł), na firmę zarządzającą nieruchomościami (8 tys. zł) oraz na spółkę zajmującą się ochroną mienia i osób (30 tys. zł) – podaje Adam Sanocki.
Więcej zgłoszeń
Oprócz administracyjnych kar pieniężnych, UODO może też wydawać ostrzeżenia, udzielać upomnień, nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, czy też wprowadzić czasowe lub całkowite ograniczenia przetwarzania. W ubiegłym roku wydano łącznie ponad 1,3 tys. takich decyzji, a w 2018 r. wydano ich ponad 520. Jednocześnie w ubiegłym roku do UODO zgłoszono 6 tys. spraw dotyczących naruszania danych osobowych, a w 2018 r. – ok. 4,5 tysięcy.
– Ponad połowa ubiegłorocznych zgłoszeń pochodziła od administratorów danych z sektora prywatnego, głównie od podmiotów telekomunikacyjnych, ubezpieczeniowych, banków i innych podmiotów finansowych oraz służby zdrowia. Natomiast w przypadku sektora publicznego – najwięcej zgłoszeń naruszeń wpłynęło od administratorów danych z jednostek samorządu terytorialnego, szkół, przedszkoli i żłobków oraz placówek publicznej służby zdrowia – wylicza Adam Sanocki.
W tym roku liczba zgłoszeń, jak i „kar za RODO” może być jeszcze większa. – Podobny trend obserwuje się w innych państwach Europejskiego Obszaru Gospodarczego. Daleko nam oczywiście do Holandii, gdzie zgłasza się 147 naruszeń na 100 tys. mieszkańców (w Polsce to jest ok. 14) czy Niemiec, gdzie tamtejsze organy nadzorcze nałożyły już niemal 200 kar pieniężnych. Uprawnienia naprawcze z art. 58 ust. 2 RODO są oczywiście ważne, ale to administracyjne kary pieniężne najlepiej działają na wyobraźnię – opowiada Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO.
Podkreśla, że żadna branża czy sektor nie może stwierdzić, że dostosowała się już do przepisów ogólnego rozporządzenia i więcej nic nie musi robić. Każdy administrator danych – firma, przedsiębiorstwo, instytucja – cały czas musi trzymać rękę na pulsie: uwzględniać nowe ryzyka, mierzyć się z przepisami prawa krajowego, wdrażać nowe rozwiązania techniczne
– Początki wdrażania RODO w Polsce były bardzo trudne. Teraz, prawie dwa lata później, sytuacja wygląda zupełnie inaczej. Nie działa się już na oślep. Administratorzy i inspektorzy ochrony danych mają do swojej dyspozycji komentarze prawnicze, wytyczne PUODO i innych instytucji, poradniki, artykuły. Nie ma już na szczęście tak wielu RODO absurdów, o których rozpisywały się media. Mogłoby się wydawać, że to jedynie polska specyfika, ale podobnie to wyglądało w całej Unii Europejskiej. Oczywiście kraje z długą historią ochrony danych osobowych, jak Szwecja czy Niemcy, lepiej radziły sobie z ogólnym rozporządzeniem o ochronie danych. Jednak i tam nie zabrakło wpadek, jak w przypadku bawarskiego miasta Roth, gdzie pojawił się problem z wieszaniem przez dzieci listów do Mikołaja na miejskiej choince – „bo RODO” – opowiada Adam Klimowski.
Zdradliwy marketing
Według Adama Klimowskiego jest jeszcze sporo do zrobienia w zakresie ochrony danych osobowych w ochronie zdrowia i szkolnictwie. – Problemami są tam np. zakres zbieranych danych, konieczność zawierania umów powierzenia, czy sposób wykorzystania monitoringu wizyjnego. Źródłem wątpliwości związanych z ochroną danych osobowych są z jednej strony wieloletnie przyzwyczajenia, z drugiej zaś przepisy prawa, które często kończą się w miejscu, gdzie konieczne jest rozstrzyganie praktycznych kwestii – wyjaśnia Adam Klimowski. Zwraca uwagę, że z pomocą może przyjść tzw. kodeks postępowania RODO. Określony sektor może przygotować dokument, zawierający wskazówki w praktycznym stosowaniu przepisów o ochronie danych w połączeniu z uregulowaniami sektorowymi. W Polsce toczą się obecnie prace nad nieco ponad dwudziestoma „kodeksami RODO”.
– Rok 2020 może być także rokiem, w którym zasady ochrony danych osobowych zostaną w większym stopniu, niż obecnie, wykorzystane do walki ze spamem. Mamy już pierwsze prognostyki: odszkodowanie przyznane w Niemczech za naruszenie RODO przez wysyłanie niezamówionych maili oraz 28 mln euro (119 mln zł) kary dla włoskiego dostawcy usług telekomunikacyjnych za marketing niezgodny z ogólnym rozporządzeniem, a w Polsce – wyrok warszawskiego sądu, przyznający zadośćuczynienie za naruszenie dóbr osobistych przez wysyłanie spamu. Warto więc, by wszystkie firmy, prowadzące komunikację marketingową na większą skalę, zaczęły – jeżeli jeszcze tego nie robią – konsultować swoje działania ze specjalistami do spraw ochrony danych osobowych – sugeruje Adam Klimowski.
źródło: Business Insider Polska