blog

RODO w 2020 roku – najwyższe kary

27/11/20 | Artykuły

W związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych Osobowych za rok 2020 ukaże się dopiero w 2021 r., jednakże na ten moment można wskazać najczęściej kontrolowane obszary i naruszenia do jakich doszło w obecnym roku.

Raport Komisji Europejskiej

Jak wskazano wyżej, nie ukazał się jeszcze raport Urzędu Ochrony Danych Osobowych dotyczący stanu ochrony danych w Polsce. Jednakże w czerwcu 2020 r. opublikowano sprawozdanie Komisji Europejskiej (także jako: „KE”) dotyczące oceny realizacji przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04; dalej jako: „RODO”).

W dokumencie wskazano, że rozwiązania zaproponowane w Rozporządzeniu okazały się elastyczne pod względem wspierania rozwiązań w nieprzewidzianych okolicznościach, takich jak np. epidemia koronawirusa. Podkreślono także, że coraz więcej państw członkowskich dostosowuje wewnętrzne przepisy do ogólnego rozporządzenia o ochronie danych osobowych. Kolejną pozytywną konkluzją płynącą z opracowania Komisji Europejskiej jest fakt, że przedsiębiorstwa coraz częściej postrzegają dostosowanie organizacji do przepisów o ochronie danych osobowych, jako silną przewagę konkurencyjną.

Bardzo ważnym wnioskiem z badania KE jest rosnąca świadomość obywateli o przysługujących im prawach. Według wyników ankiety przeprowadzonej przez Agencję Praw Podstawowych Unii Europejskiej, 69 proc. ludności Unii Europejskiej słyszało o RODO, zaś 71 proc. osób słyszało o swoim krajowym organie ochrony danych. Ponadto Komisja poinformowała, że od maja 2018 roku zintensyfikowany został dialog dwustronny, regionalny i wielostronny, wspierając globalną kulturę poszanowania prywatności i konwergencję między różnymi systemami ochrony prywatności z korzyścią zarówno dla obywateli, jak i przedsiębiorstw.

Komisarz do spraw wymiaru sprawiedliwości Didier Reynders stwierdził, że RODO spełnia swoje cele, jednakże  „jak pokazuje sprawozdanie, wciąż możemy zrobić więcej. Potrzebujemy na przykład w Unii większej spójności w stosowaniu przepisów. Jest to ważne dla obywateli i przedsiębiorstw, a zwłaszcza dla małych i średnich firm. Musimy również zapewnić obywatelom możliwość pełnego korzystania z przysługujących im praw. Komisja będzie monitorować postępy w ścisłej współpracy z Europejską Radą Ochrony Danych i w ramach regularnej wymiany informacji z państwami członkowskimi, tak aby RODO mogło w pełni wykorzystać swój potencjał” .

 

Najwyższe kary przyznane w 2020 roku

Należy zauważyć, że państwa UE coraz lepiej realizują założenia określone przez unijnego ustawodawcę. Cały czas, zarówno w kraju jak i w innych państwach UE, dochodzi jednak do naruszeń przepisów o ochronie danych, co skutkuje nakładaniem przez organy wysokich kar.

Dotychczas, w 2020 r. najwyższa kara w wysokości 35.258.708 EUR została nałożona przez niemiecki organ ochrony danych osobowych na firmę modową – H&M z siedzibą w Hamburgu. Przedsiębiorstwo gromadziło dane wrażliwe pracowników. Co więcej, w wyniku awarii systemu informatycznego, dostęp do nich uzyskała cała firma (więcej na ten temat pisaliśmy tutaj).

Następne w kolejce są Włochy – ukarano tam  operatora telekomunikacyjnego niebagatelną kwotą w wysokości 27.800.000 EUR za naruszenie przepisów RODO, a mianowicie art. 5, art. 6, art. 17, art. 21 oraz art. 32. Naruszenia te dotyczyły w szczególności braku zgody na działania marketingowe (telemarketing i cold calling), nieprawidłowego zbierania zgód w aplikacjach TIM, braku odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych oraz braku określonych okresów przechowywania danych klientów. Zakres i skala naruszeń spowodowała, że organ zdecydował się nałożyć tak wysoką karę.

Bardzo wysoka kara została także nałożona w Wielkiej Brytanii na Marriott International. W 2018 roku Marriott zgłosił organowi, że doszło do incydentu cybernetycznego w związku z którym różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione. Dochodzenie wykazało, że podmiot nie przeprowadził wystarczającej analizy due diligence wskutek czego jego systemy nie zostały odpowiednio zabezpieczone. Organ uznał, iż kara mogłaby być jeszcze bardziej dotkliwa, jednakże było to pierwsze tego typu naruszenie Marriott, zaś sam podmiot w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób o naruszeniu, co przemawiało na jego korzyść.

W Polsce zaś, najwyższa w tym roku kara w wysokości 22.700 EUR została nałożona na Geodetę Generalnego. Naruszenie dotyczyło przetwarzania danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej.

 

PODMIOT

PODSTAWA PRAWNA

WYSOKOŚĆ KARY

KRAJ

H&M HENNES & MAURITZ ONLINE SHOP A.B. & CO. KG

Art. 5 RODO, Art. 6 RODO

35.258.708 EUR

Niemcy

TIM (OPERATOR TELEKOMUNIKACYJNY)

Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO

27.800.000 EUR

Włochy

MARRIOTT INTERNATIONAL, INC

Art. 32 RODO

20.450.000 EUR

Wielka Brytania

WIND TRE S.P.A.

Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODO

16.700.000 EUR

Włochy

GOOGLE LLC

Art. 5 RODO, Art. 6 RODO, Art. 17 RODO

7.000.000 EUR

Szwecja

ALLGEMEINE ORTSKRANKENKASSE

Art. 5 RODO, Art. 6 RODO, Art. 32 RODO

1.240.000 EUR

Niemcy

GEODETA GENERALNY POLSKI („GKK”)

Art. 5 RODO, Art. 6 RODO

22.700 EUR

Polska

 

Wciąż najwyższą sankcją jaka została nałożona od momentu obowiązywania przepisów RODO jest przyznana w 2019 r. kara w wysokości 204.600.000 EUR na brytyjskie linie lotnicze British Airways w związku z nie zastosowaniem się do art. 32 RODO (dot. bezpieczeństwa przetwarzania danych osobowych).

Analiza wyżej przedstawionych wyników prowadzi do wniosku, że najwyższe kary przyznawane są dużym międzynarodowym przedsiębiorstwom. Nie wynika to jednak z faktu, że mniejsze firmy nie są kontrolowane – chodzi tutaj raczej o skalę i wagę naruszeń.

 

Podsumowanie

Pomimo, że od dnia wejścia w życie przepisów Rozporządzenia minęło już przeszło 2 lata, wiele krajów Unii Europejskiej nadal boryka się z problemami dotyczącymi pełnej transpozycji przepisów do krajowego porządku prawnego, zaś przedsiębiorcy z ich realizacją. Jak wynika z badań, w szczególności mniejsze firmy nie realizują wszystkich obowiązków wynikających z RODO, co naraża je na dotkliwe sankcje w postaci kar pieniężnych.

 

Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

„Wyciek” danych z portalu LinkedIn

„Wyciek” danych z portalu LinkedIn

Na początku lipca 2021 roku pojawiły się informacje sugerujące wyciek danych osobowych z 700 milionów kont założonych na portalu LinkedIn, które teraz są oferowane na sprzedaż. Jest to już kolejna informacja o wycieku danych z tego portalu na przestrzeni ostatnich…

Czy pracodawca może korzystać z prywatnych danych pracownika?

Czy pracodawca może korzystać z prywatnych danych pracownika?

blogNa podstawie wytycznych Prezesa Urzędu Ochrony Danych Osobowych, należy wskazać, że pracodawca który dysponuje danymi kontaktowymi pracownika pozyskanymi podczas rekrutacji (np. prywatnym adresem e-mail czy numerem telefonu), nie może ich wykorzystywać do...

NEWSLETTER RODO (25.05.2021)

NEWSLETTER RODO (25.05.2021)

blog1. Opinia EROD projektach decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie – 16.04.2021 r. W dniu 13 kwietnia 2021 r., Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni...

Kolejna milionowa kara za naruszenie ochrony danych osobowych

Kolejna milionowa kara za naruszenie ochrony danych osobowych

W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy…

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

blogW dniu 23 kwietnia 2021 roku Europejski Inspektor Ochrony Danych i Prywatności (dalej jako: „EIOD”) wypowiedział się na temat wykorzystania technologii pozwalającej na rozpoznawanie twarzy. W swoim oświadczeniu uznał, że stosowanie tego typu rozwiązań powinno być...

„Wyciek” danych z portalu LinkedIn

„Wyciek” danych z portalu LinkedIn

Na początku lipca 2021 roku pojawiły się informacje sugerujące wyciek danych osobowych z 700 milionów kont założonych na portalu LinkedIn, które teraz są oferowane na sprzedaż. Jest to już kolejna informacja o wycieku danych z tego portalu na przestrzeni ostatnich…

Czy pracodawca może korzystać z prywatnych danych pracownika?

Czy pracodawca może korzystać z prywatnych danych pracownika?

blogNa podstawie wytycznych Prezesa Urzędu Ochrony Danych Osobowych, należy wskazać, że pracodawca który dysponuje danymi kontaktowymi pracownika pozyskanymi podczas rekrutacji (np. prywatnym adresem e-mail czy numerem telefonu), nie może ich wykorzystywać do...

NEWSLETTER RODO (25.05.2021)

NEWSLETTER RODO (25.05.2021)

blog1. Opinia EROD projektach decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie – 16.04.2021 r. W dniu 13 kwietnia 2021 r., Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni...

Kolejna milionowa kara za naruszenie ochrony danych osobowych

Kolejna milionowa kara za naruszenie ochrony danych osobowych

W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

Oddział Poznań

ul. Palacza 144
60-278 Poznań

Oddział Leszno

ul. Niepodległości 49
64-100 Leszno

    Wyrażam zgodę na przetwarzanie przez Kancelarię Radców Prawnych Marek Turcza z siedzibą w Poznaniu, moich danych osobowych wskazanych na formularzu kontaktowym w celach marketingowych.

    Wyrażam zgodę na otrzymywanie od Kancelarii Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838 informacji handlowej i materiałów promocyjnych środkami komunikacji elektronicznej (e-mail), w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.


    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.


    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Palacza 144
    60-278 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2021 TURCZA Kancelaria Radców Prawnych. All rights reserved.

    0