KARY PIENIĘŻNE ZA NARUSZENIE OCHRONY DANYCH OSOBOWYCH W POLSCE – 2019 ROK.

Mamy początek listopada 2019 r. Półtora roku temu trwała „RODO-gorączka”. Głośno było o surowych karach, które zaczną spadać na przedsiębiorców począwszy od maja 2018 r. Wkrótce po rozpoczęciu stosowania RODO pojawiać się zaczęły wzmianki o pierwszych karach za naruszenie ochrony danych osobowych nakładanych przez różne europejskie organy nadzoru. Polski organ nadzoru – Prezes Urzędu Ochrony Danych Osobowych (PUODO) nadal nie informował jednak o jakichkolwiek decyzjach w tym zakresie. Wiadomo było jedynie, że do PUODO wpłynęło bardzo dużo skarg dotyczących przetwarzania danych osobowych i PUODO je analizuje.

Obecnie powyższy stan uległ dość znaczącej zmianie. Po pierwsze, głośno zrobiło się o kolejnych karach nakładanych przez organy nadzorcze poszczególnych państw europejskich. Uaktywniły się m.in. organy nadzorcze w Niemczech (tutaj nakładanie kar ruszyło w zasadzie na dobre już w 2018 r. – Niemcy wiodły w tym przedmiocie zdecydowanie prym), ale także we Francji, Wielkiej Brytanii, Grecji, Rumunii, Hiszpanii oraz Portugalii. Najbardziej spektakularny – jeśli chodzi o wysokość kar – jest przypadek Wielkiej Brytanii, gdzie brytyjski organ nadzorczy (ICO) zapowiedział nałożenie kary w wysokości 204,6 mln EUR na linie lotnicze British Airways oraz przeszło 110 mln EUR na sieć hoteli Marriott International, Inc. Po drugie, uaktywnił się Prezes Urzędu Ochrony Danych Osobowych, nakładając w okresie od marca do października 2019 r. cztery następujące kary pieniężne za naruszenie zasad ochrony danych osobowych:

  • Karę w wysokości 219.538 euro nałożoną dnia 26.03.2019 r. na spółkę Bisnode Polska sp. z o.o. za brak realizacji obowiązku informacyjnego ciążącego na spółce względem osób, których dane spółka pobierała z publicznie dostępnych rejestrów i przetwarzała w ramach prowadzonej działalności gospodarczej.

  • Karę w wysokości 12.950 euro nałożoną dnia 25.04.2019 r. na Dolnośląski Związek Piłki Nożnej za zamieszczenie na stronie internetowej związku zbyt szerokiego katalogu danych osobowych sędziów piłkarskich zrzeszonych w związku.

  • Karę w wysokości 644.780 euro nałożoną dnia 10.09.2019 r. na spółkę Morele.net sp. z o.o. za niedostateczne zabezpieczenie danych osobowych przetwarzanych przez spółkę, co skutkowało nieuprawnionym dostępem do danych klientów sklepów internetowych prowadzonych przez spółkę.

  • Karę w wysokości 9.380 euro nałożoną dnia 18.10.2019 r. na Burmistrza Aleksandrowa Kujawskiego przede wszystkim ze względu na brak zawarcia umów powierzenia przetwarzania danych osobowych z dostawcami usług zamawianych przez gminę, a także za inne naruszenia formalne (m.in. braki w prowadzonym rejestrze czynności przetwarzania danych oraz niewłaściwą retencję danych przetwarzanych przez gminę).

Z analizy decyzji nakładających powyższe kary nasuwają się dwa podstawowe wnioski:

  • Prezes Urzędu Ochrony Danych Osobowych nakładał kary za różne rodzaje naruszeń ochrony danych osobowych – nie tylko za naruszenie poufności danych (np. doprowadzenie do ich „wycieku”), ale również za naruszenia o charakterze formalnym – np. brak realizacji obowiązku informacyjnego wynikającego z art. 13-14 RODO oraz brak realizacji obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych, wynikającego z art. 28 RODO.

  • Zdecydowanie wyższe kary nakładane są na podmioty z sektora prywatnego – co wynika przede wszystkim z ograniczenia odpowiedzialności podmiotów z sektora finansów publicznych wprowadzonego w art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Czy można spodziewać się kolejnych kar za naruszenia ochrony danych osobowych? Z całą pewnością tak. Ogólne rozporządzenie o ochronie danych (RODO) wywołało co prawda popłoch w pierwszej połowie 2018 r., jednak znacząca część podmiotów przetwarzających dane osobowe dość szybko przeszła nad tą regulacją do porządku dziennego, ignorując wynikające z niej obowiązki. Obowiązkiem Prezesa Urzędu Ochrony Danych Osobowych jest wyłapywanie zaniechań w tym zakresie, natomiast kary, które nakładać może on z tego tytułu na podmioty przetwarzające dane osobowe mogą potencjalnie stanowić znaczące i atrakcyjne źródło wpływów do budżetu Państwa.

Wpisy powiązane:

Kary pieniężne wynikające z RODO.

Zasady RODO.

Zasada rozliczalności.

Czasowe ograniczenie przetwarzania danych.

RODO w służbie zdrowia.

RODO w hotelu.

Data publikacji: 02.11.2019.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz