W lutym 2022 r. Urząd Ochrony Danych Osobowych nałożył na administratora danych rekordową karę finansową w wysokości 4,9 mln zł. Co istotne w tej sprawie, samo naruszenie ochrony danych osobowych miało miejsce w podmiocie przetwarzającym, z którym ukarana spółka miała zawartą umowę powierzenia, a o naruszeniu dowiedziała się od osób trzecich. UODO uznał jednak, że na administratorze spoczywa obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Nie jest to działanie jednorazowe i powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.
Nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł jest pierwszą tak wysoką karą. Na drugim miejscu plasuje się kara w wysokości 2,8 mln zł. Nałożono ją na spółkę za brak zastosowania środków organizacyjnych i technicznych ochrony danych osobowych odpowiednich do istniejącego ryzyka związanego z przetwarzaniem danych, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. W tym przypadku zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Zdarzają się też niższe kary jak ta w wysokości 12 tys. zł za brak współpracy z UODO, poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji.
Prezes UODO oprócz kar pieniężnych może nakładać inne środki mobilizujące administratorów danych. Tak też się stało w przypadku szkoły, która otrzymała karę upomnienia za przetwarzanie bez podstawy prawnej danych osobowych uczniów w związku z przeprowadzeniem wśród nich ankiety. Ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę. Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie upomnienia. Za okoliczność łagodzącą uznano niezamierzony charakter naruszenia.
Wracając do najwyższej na chwilę obecną kary, to została on nałożona na administratora danych (spółkę) za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Sam podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł. Postępowanie zostało wszczęte z urzędu, a naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów, w tym umowy powierzenia przetwarzania danych osobowych. Administrator dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy. UODO zwrócił uwagę, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy w zakresie powszechnie stosowanych praktyk podczas wprowadzania zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. UODO uznał, że wysokość kary jest proporcjonalna do naruszenia oraz właściwa w stosunku do obrotów, jakie generuje spółka, więc nie będzie dla niej dotkliwa, mimo jej wysokości.
RODO w art. 83 wprowadza wysokie kary za naruszenie jego przepisów. Przykładowo stanowi, że administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega brak wdrożenia przez administratora lub podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzanych danych osobowych, brak rejestrowania czynności przetwarzania czy też niezgłoszenie naruszeń ochrony danych do organu nadzorczego. Administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in. naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody od osób, których dane są przetwarzane. Przy czym, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. W Polsce jedynym organem uprawnionym do nakładania takich kar jest Prezes UODO.
Kary pieniężne nie są jedynymi środkami, które mogą być stosowane przez PUODO. RODO przewiduje również inne środki, które mogą być wykorzystywane zamiast kary pieniężnej lub razem z nią. Środki naprawcze zostały opisane w art. 58 ust. 2 lit. a)-h) oraz lit. j) RODO. Takimi środkami mogą być m.in.:
|
Decydując, czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, PUODO bierze pod uwagę:
|
| ||||||||||||
|
||||||||||||
