Follow Legal » Dane osobowe » Karuzela kar za naruszenia RODO ruszyła! [Aktualizacja]
Minął ponad rok od kiedy żyjemy w świecie zawładniętym przez RODO. Wszyscy zapewne pamiętamy atmosferę paniki wśród administratorów danych (ado) ze wszystkich branż i sektorów. Atmosfera ta została wywołana wizją milionowych (liczonych w euro!) kar za nieprzestrzeganie przepisów RODO. Po długich miesiącach prac w gabinetach organów nadzorczych poszczególnych krajów pojedynczych decyzji nakładających kary, w ostatnim czasie obrodziło nam wysokimi karami oraz ciekawymi przypadkami naruszeń ochrony danych. Poniżej przedstawiam pokrótce najciekawsze (lub najwyższe) rozstrzygnięcia organów nadzorczych.

Z tego artykułu dowiesz się:
 

Zapowiedź kary dla British Airways

W ostatnich dniach media obiegła informacja o nałożeniu przez brytyjski organ zajmujący się ochroną danych osobowych (ICO – Information Commissioner’s Office) najwyższej jak dotychczas kary za nieprawidłowości w stosowaniu przepisów RODOponad 183 miliony funtów muszą działać na wyobraźnię! Kara jest wynikiem wycieku danych, który miał miejsce prawdopodobnie od czerwca 2018 i polegał na przekierowaniu użytkowników linii lotniczych na stronę internetową łudząco podobną do strony przewoźnika. Dane osobowe około 500 tysięcy osób uległy ujawnieniu, a wśród nich między innymi dane kart płatniczych. British Airways samo zgłosiło naruszenie do ICO we wrześniu 2018 roku. Po analizie tego zdarzenia organ uznał, że zabezpieczenia stosowane przez administratora danych osobowych były niskiej jakości i nie zapewniały właściwego poziomu ochrony danych – stąd zamiar nałożenia kary na British Airways. Linie lotnicze będą miały teraz okazję przedstawić swoje stanowisko co do zarzutów – będziemy śledzić rozwój tej sprawy!

Planowana kara dla Marriott International

Jeszcze nie zdążyły opaść emocje po publikacji informacji o postępowaniu przeciwko British Airways, a ICO wydało kolejny komunikat. Organ nadzorczy poinformował o zamiarze ukarania giganta hotelowego karą w wysokości przekraczającej 99 milionów funtów. Kłopoty Marriott International rozpoczęły się od przejęcia sieci hoteli Starwood w 2016 roku. Systemy komputerowe stosowane przez Starwood padły ofiarą cyber-ataku (już w 2014 r.), a podatności systemu doprowadziły do wycieku ok. 339 milionów rekordów gości hotelowych.  Do wykrycia wycieku (a tym samym naruszenia ochrony danych) przez Marriott International doszło dopiero w 2018 roku. Samo naruszenie ochrony danych zostało zgłoszone do organu nadzorczego. ICO wskazało jednak, że Marriott International nie przeprowadził należycie due-dilligence przejmowanej sieci hoteli. Nie wykrył odpowiednio wcześniej luk w systemie ochrony danych osobowych, w wyniku czego nie zastosowano adekwatnych środków zabezpieczenia zapobiegającym skutecznie dalszym naruszeniom. Ukarana spółka współpracuje aktywnie z ICO i będzie miała szansę odnieść się do zarzutów regulatora.

kary za naruszenia RODO

Hiszpańska liga piłkarska ukarana za „szpiegowską” aplikację

Hiszpański organ nadzoru (AEPD – Agencia Española de Protección de Datos ) nałożył karę w wysokości 250 tysięcy euro na LaLiga – organizatora rozgrywek piłkarskich w Hiszpanii. Naruszenie dotyczyło niedozwolonego w ocenie AEPD wykorzystywania oficjalnej aplikacji dla kibiców piłkarskich.  Kilka milionów użytkowników aplikacji nie było świadomych, że aplikacja co pewien czas uruchamia mikrofony ich smartfonów w trakcie meczów, „słucha” odgłosów tła i w ten sposób (w połączeniu z danymi lokalizacyjnymi) poszukuje lokali gastronomicznych, które transmitują mecze ligi hiszpańskiej bez wymaganej licencji.  Przyznacie Państwo, że pomysłowe! LaLiga nie zgadza się z nałożoną karą wskazując, iż dźwięki nagrywane są za pośrednictwem dedykowanego algorytmu, nikt nie ma dostępu do nich i faktycznie nie są odsłuchiwane.

Pierwsza kara za naruszenie RODO w Polsce

Po prawie dziesięciu miesiącach funkcjonowania nowego reżimu prawnego w zakresie przetwarzania danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył pierwszą karę za naruszenie przepisów RODO. Wysokość kary tj. ponad 940 tysięcy złotych jak i charakter naruszenia wywołały szeroką dyskusję i grad komentarzy dotyczących zasadności tego rozstrzygnięcia.

Kara została nałożona na podmiot, który świadczył usługi z wykorzystaniem danych osobowych osób fizycznych prowadzących działalność gospodarczą pozyskiwanych z powszechnie dostępnych rejestrów (np. CEIDG). Dane zawarte w tych rejestrach były wykorzystywane do tworzenia różnego rodzaju baz danych, rejestrów i raportów oferowanych jako produkty komercyjne.

PUODO w swoim rozstrzygnięciu stwierdził, że przedsiębiorca nie spełnił obowiązku informacyjnego wobec wszystkich podmiotów danych, do czego był zobowiązany.

Administrator danych ograniczył się do wysyłki e-mail do osób, których adresy e-mail były mu znane. Ukarana spółka zaniechała jednak wysyłki klauzuli informacyjnej do pozostałych osób za pośrednictwem poczty tradycyjnej oraz kontaktu telefonicznego, uznając że takie działanie związane byłoby z „niewspółmiernym wysiłkiem”, o którym mowa w art. 14 ust. 5 lit. b RODO. Koszt wysyłki listów tradycyjnych do wszystkich osób z bazy danych, wobec których należało spełnić obowiązek informacyjny, przekroczyłby 30 milionów złotych.

Ukarany podmiot zapowiedział wniesienie skargi na decyzję PUODO do sądu. Rynek z niecierpliwością czeka na to rozstrzygnięcie. Nie sposób bowiem odmówić podstaw argumentacji ukaranego, a ewentualne utrzymanie tej decyzji może mieć daleko idące konsekwencje dla innych podmiotów z branży.

Od czasu publikacji naszej pierwszej informacji o karach nakładanych przez organy krajowe za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych pojawiło się kilka ciekawych decyzji, zarówno na naszym krajowym podwórku jak i w innych krajach członkowskich. W związku z powyższym poniżej omawiam najbardziej interesujące, moim zdaniem, rozstrzygnięcia.

WSA uchylił decyzję UODO o nałożeniu kary finansowej na Bisnode za naruszenie RODO

Sprawą, która budziła w Polsce największe emocje była pierwsza kara nałożona przez UODO na Bisnode, o której pisaliśmy powyżej. Decyzja ta wzbudziła szereg dyskusji w środowisku zarówno ze względu na charakter naruszenia, wysokość kary działającą na wyobraźnię, jak fakt, że była to pierwsza polska kara za naruszenie RODO. Zgodnie z zapowiedziami ukaranego przedsiębiorcy, decyzja o nałożeniu kary została zaskarżona, a w ostatnich dniach poznaliśmy rozstrzygnięcie. Warto w tym miejscu przypomnieć istotę sprawy. Bisnode zostało ukarane za brak spełnienia obowiązku informacyjnego wobec przedsiębiorców, których dane pozyskało z powszechnie dostępnych rejestrów.

Chodzi zatem o dane, które są powszechnie dostępne, które każdy może pozyskać bezpłatnie i w kilka chwil, za pośrednictwem internetu. Ukarany argumentował, iż spełnienie tego obowiązku wiązałoby się z niewspółmiernie wielkim wysiłkiem, a zatem powoływał się na art. 14 ust. 5 RODO. Zgodnie ze stanowiskiem Bisnode, “niewspółmiernie wielki wysiłek” należy w tym przypadku utożsamiać z kosztem wysyłki listów tradycyjnych do milionowej bazy danych przedsiębiorców. Wydaje się, że taka argumentacja nie jest pozbawiona podstaw.

Należałoby zadać sobie jednak pytanie, czy fakt pozyskania i przetwarzania danych osobowych, będących powszechnie dostępnymi, stanowi zagrożenie dla praw osób, których dane dotyczą? Czy spełnienie wobec nich obowiązku informacyjnego (poprzez wysyłkę listów) wpłynęłoby jakkolwiek na ochronę ich danych osobowych?W rozstrzygnięciu z 11 grudnia 2019 roku WSA stwierdził, że obowiązek informacyjny wskazany w art. 14 RODO powinien zostać przez Bisnode spełniony (w formie listownej lub za pośrednictwem telefonu), jednakże wyłącznie do osób, które nadal posiadają status przedsiębiorcy (aktywne, lub zawieszone działalności gospodarcze – z wyłączeniem wpisów historycznych).

W argumentacji sądu przeważającym jest pogląd, że prawo do informacji ma kluczowe znaczenie, a w tej sytuacji administrator nie mógł powoływać się na “niewspółmiernie wielki wysiłek”, którego nie należy utożsamiać z ciężarem finansowym. Sąd uchylił jednocześnie karę, wskazując iż przy jej kalkulacji uwzględniono również osoby nieprowadzące już działalności gospodarczej. W tej sprawie wypowiedziała się zarówno:

Pierwsza kara za naruszenie RODO w samorządzie

Powszechnie utożsamia się, że kary finansowe za naruszanie przepisów RODO przedsiębiorcami. Zakres podmiotowy Rozporządzenia ogólnego o ochronie danych osobowych jest jednak szerszy i obejmuje m.in. jednostki samorządu terytorialnego i podmioty publiczne.

Prezes UODO wydał decyzję nakładającą karę finansową w wysokości 40.000 złotych  na Burmistrza Aleksandrowa Kujawskiego. Głównym zarzutem PUODO był brak zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem, który miał realizować usługi informatyczne związane z publikacją Biuletynu Informacji Publicznej (BIP) urzędu. W trakcie kontroli stwierdzono również inne naruszenia związane m.in. z polityką retencji danych, brakiem kopii zapasowych czy też nieprawidłowościami w prowadzeniu rejestru czynności przetwarzania danych osobowych.

Kary za naruszenie RODO nie tylko za spektakularne naruszenia

Podawane wcześniej przykłady kar dotyczą naruszeń ochrony danych dotyczących potężnej liczby osób lub ogromnej masy danych, które poskutkowały karami w milionowej wysokości. Ostatnie rozstrzygnięcie rumuńskiego organu nadzorczego pokazuje jednak, że i naruszenia mniejszej wagi mogą spotkać się konsekwencjami finansowymi. W Rumunii nałożono karę w wysokości 15 tysięcy euro na podmiot z branży hotelowej za niezapewnienie odpowiednich środków zabezpieczenia danych osobowych gości. Naruszenie wydaje się trywialne – osoba nieuprawniona sfotografowała listę gości (46 osób), które zapłaciły za śniadanie.

Czy należy się bać kar za naruszenie RODO?

To oczywiście nie wszystkie kary nałożone w Europie, prezentujemy jedynie kilka wybranych. Podane przez nasz przykłady wskazują jednak, że ryzyko otrzymania dotkliwej kary jest realne i należy spodziewać się, że kar za naruszenia ochrony danych będzie coraz więcej. Organy nadzorcze w całej Europie wzmocniły swoje działy zajmujące się kontrolami i z pewnością będą coraz sprawniejsze w egzekwowaniu przepisów RODO.

Europejskie organy na bieżąco kontrolują i nakładają kary za naruszenie przepisów RODO. Analiza nałożonych dotychczas kar wskazuje, że organy szeroko patrzą na przetwarzanie danych osobowych. Nałożone kary, niejednokrotnie dotkliwe dla podmiotów przetwarzających dane osobowe dotyczyły właściwie wszelkich możliwych naruszeń przepisów RODO. Mieliśmy już kary za brak spełnienia obowiązku informacyjnego, wymuszanie zgód, brak umów powierzenia przetwarzania danych osobowych, niewystarczające środki ochrony danych osobowych, przetwarzanie nadmiarowych danych czy też brak ustalenia czasów retencji danych. Zgodnie z oczekiwaniami rynku – mamy kontrole, mamy kary, być może nie tak srogie jak zapowiadano, ale pomimo tego, że “gorączka RODO” straciła na temperaturze nadal jest to sfera bardzo wrażliwa – szczególnie dla przedsiębiorców.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych lub przeprowadzenia audytu RODO skontaktuj się z naszymi ekspertami.


Damian Fedeczko

Damian Fedeczko Legal Business Partner / Inspektor danych osobowych

Damian jest wieloletnim ekspertem w dziedzinie ochrony danych osobowych. Damian zdobywał doświadczenie w kancelariach prawniczych oraz jako prawnik in-house w przedsiębiorstwach z branży projektowej, e-commerce, contact center oraz IT. Z sukcesem doradzał wykonawcom przy międzynarodowych projektach infrastrukturalnych na etapie pozyskiwania zamówień publicznych jak i w trakcie realizacji inwestycji. więcej >>