Pierwsze kary finansowe za naruszenie RODO

Za nami pierwsze sześć miesięcy obowiązywania RODO. Od początku najwięcej emocji wśród przedsiębiorców budziły dotkliwe sankcje za nieprzestrzeganie nowych przepisów. Kara pieniężna za naruszenie obowiązków związanych z przetwarzaniem danych osobowych może wynieść nawet 20 000 000 € lub 4% rocznego światowego obrotu. Zgodnie z zapowiedziami, pierwsze planowe kontrole obejmą przede wszystkim administratorów prowadzących monitoring wizyjny, a także podmioty z sektora medycznego i oświaty. Praktyka pokaże, jak surowo karane będą podmioty, które nie przestrzegają obowiązków związanych z przetwarzaniem danych osobowych. Na razie Urząd uspokaja, że przynajmniej w pierwszym okresie sprawdzeń, nie zamierza nadużywać prawa do nakładania kar finansowych.

Informacje o pierwszych karach spływają natomiast z organów nadzorczych innych państw europejskich. Warto zwrócić uwagę nie tylko na wysokość nałożonych kar, ale także na opisane w decyzjach naruszenia, które mogą stanowić cenną wskazówkę w zakresie praktycznego stosowania RODO.

Austria

W Austrii, podobnie jak w Polsce, w początkowym okresie obowiązywania RODO deklarowano stosowanie raczej upomnień niż kar finansowych. Mimo tego, pierwsza kara w wysokości 4.800 euro, została nałożona już we wrześniu na przedsiębiorcę, który nieprawidłowo stosował monitoring wizyjny. Kamera zamontowana przed jego zakładem obejmowała również znaczną część chodnika – a więc wkraczała w obszar publiczny. Dodatkowo przedsiębiorca zaniedbał prawidłowego oznaczenia monitoringu.

Portugalia

Znacznie wyższą karę otrzymało natomiast  Centrum Szpitalne Barreiro – Montijo w Portugalii. Dwa poważne naruszenia zasad ochrony danych kosztowały szpital łącznie 400 000 euro. Szpital w nieprawidłowy sposób zarządzał dostępem do danych osobowych pacjentów. Dostęp do danych medycznych został udzielony nie tylko lekarzom, ale również niektórym pracownikom socjalnym. Ponadto, w systemie informatycznym założonych zostało ponad 900 profili z uprawnieniami dostępu na poziomie lekarza, mimo że placówka zatrudniała ich trzykrotnie mniej. Szpital nie tylko udostępnił dane osobowe zbyt szerokiemu gronu pracowników, ale również nie zapewnił integralności i bezpieczeństwa danych zgromadzonych w systemie.

Wielka Brytania

W najbliższym czasie możemy spodziewać się również kar ze strony Information Commissioner’s Office (ICO) w Wielkiej Brytanii (odpowiednik polskiego PUODO). Pierwszym przedsiębiorcą wezwanym do zaprzestania naruszeń pod groźbą nałożenia kary finansowej jest kanadyjska spółka AggregateIQ Data Services Ltd (AIQ), oskarżana o powiązania z Cambridge Analitica. ICO zarzuca spółce przetwarzanie danych osobowych obywateli Wielkiej Brytanii bez ich wiedzy i bez legalnej podstawy prawnej.  Działania AIQ już przed obowiązywaniem RODO budziły duże kontrowersje, w związku z zaangażowaniem w kampanię prezydencką w USA oraz referendum w sprawie Brexitu. Ponieważ spółka w ocenie ICO po 25 maja 2018 roku dalej przetwarza dane osobowe z naruszeniem prawa, podjęte zostały kroki przewidziane w RODO. W uwagi na uzależnienie wysokości kary od wyników finansowych przetwarzającego dane, sankcje dla AIQ mogą być bardzo dotkliwe.