blog
RODO w 2020 roku – najwyższe kary
W związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych Osobowych za rok 2020 ukaże się dopiero w 2021 r., jednakże na ten moment można wskazać najczęściej kontrolowane obszary i naruszenia do jakich doszło w obecnym roku.
Raport Komisji Europejskiej
Jak wskazano wyżej, nie ukazał się jeszcze raport Urzędu Ochrony Danych Osobowych dotyczący stanu ochrony danych w Polsce. Jednakże w czerwcu 2020 r. opublikowano sprawozdanie Komisji Europejskiej (także jako: „KE”) dotyczące oceny realizacji przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04; dalej jako: „RODO”).
W dokumencie wskazano, że rozwiązania zaproponowane w Rozporządzeniu okazały się elastyczne pod względem wspierania rozwiązań w nieprzewidzianych okolicznościach, takich jak np. epidemia koronawirusa. Podkreślono także, że coraz więcej państw członkowskich dostosowuje wewnętrzne przepisy do ogólnego rozporządzenia o ochronie danych osobowych. Kolejną pozytywną konkluzją płynącą z opracowania Komisji Europejskiej jest fakt, że przedsiębiorstwa coraz częściej postrzegają dostosowanie organizacji do przepisów o ochronie danych osobowych, jako silną przewagę konkurencyjną.
Bardzo ważnym wnioskiem z badania KE jest rosnąca świadomość obywateli o przysługujących im prawach. Według wyników ankiety przeprowadzonej przez Agencję Praw Podstawowych Unii Europejskiej, 69 proc. ludności Unii Europejskiej słyszało o RODO, zaś 71 proc. osób słyszało o swoim krajowym organie ochrony danych. Ponadto Komisja poinformowała, że od maja 2018 roku zintensyfikowany został dialog dwustronny, regionalny i wielostronny, wspierając globalną kulturę poszanowania prywatności i konwergencję między różnymi systemami ochrony prywatności z korzyścią zarówno dla obywateli, jak i przedsiębiorstw.
Komisarz do spraw wymiaru sprawiedliwości Didier Reynders stwierdził, że RODO spełnia swoje cele, jednakże „jak pokazuje sprawozdanie, wciąż możemy zrobić więcej. Potrzebujemy na przykład w Unii większej spójności w stosowaniu przepisów. Jest to ważne dla obywateli i przedsiębiorstw, a zwłaszcza dla małych i średnich firm. Musimy również zapewnić obywatelom możliwość pełnego korzystania z przysługujących im praw. Komisja będzie monitorować postępy w ścisłej współpracy z Europejską Radą Ochrony Danych i w ramach regularnej wymiany informacji z państwami członkowskimi, tak aby RODO mogło w pełni wykorzystać swój potencjał” .
Najwyższe kary przyznane w 2020 roku
Należy zauważyć, że państwa UE coraz lepiej realizują założenia określone przez unijnego ustawodawcę. Cały czas, zarówno w kraju jak i w innych państwach UE, dochodzi jednak do naruszeń przepisów o ochronie danych, co skutkuje nakładaniem przez organy wysokich kar.
Dotychczas, w 2020 r. najwyższa kara w wysokości 35.258.708 EUR została nałożona przez niemiecki organ ochrony danych osobowych na firmę modową – H&M z siedzibą w Hamburgu. Przedsiębiorstwo gromadziło dane wrażliwe pracowników. Co więcej, w wyniku awarii systemu informatycznego, dostęp do nich uzyskała cała firma (więcej na ten temat pisaliśmy tutaj).
Następne w kolejce są Włochy – ukarano tam operatora telekomunikacyjnego niebagatelną kwotą w wysokości 27.800.000 EUR za naruszenie przepisów RODO, a mianowicie art. 5, art. 6, art. 17, art. 21 oraz art. 32. Naruszenia te dotyczyły w szczególności braku zgody na działania marketingowe (telemarketing i cold calling), nieprawidłowego zbierania zgód w aplikacjach TIM, braku odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych oraz braku określonych okresów przechowywania danych klientów. Zakres i skala naruszeń spowodowała, że organ zdecydował się nałożyć tak wysoką karę.
Bardzo wysoka kara została także nałożona w Wielkiej Brytanii na Marriott International. W 2018 roku Marriott zgłosił organowi, że doszło do incydentu cybernetycznego w związku z którym różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione. Dochodzenie wykazało, że podmiot nie przeprowadził wystarczającej analizy due diligence wskutek czego jego systemy nie zostały odpowiednio zabezpieczone. Organ uznał, iż kara mogłaby być jeszcze bardziej dotkliwa, jednakże było to pierwsze tego typu naruszenie Marriott, zaś sam podmiot w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób o naruszeniu, co przemawiało na jego korzyść.
W Polsce zaś, najwyższa w tym roku kara w wysokości 22.700 EUR została nałożona na Geodetę Generalnego. Naruszenie dotyczyło przetwarzania danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej.
PODMIOT |
PODSTAWA PRAWNA |
WYSOKOŚĆ KARY |
KRAJ |
H&M HENNES & MAURITZ ONLINE SHOP A.B. & CO. KG |
Art. 5 RODO, Art. 6 RODO |
35.258.708 EUR |
Niemcy |
TIM (OPERATOR TELEKOMUNIKACYJNY) |
Art. 5 RODO, Art. 6 RODO, Art. 17 RODO, Art. 21 RODO, Art. 32 RODO |
27.800.000 EUR |
Włochy |
MARRIOTT INTERNATIONAL, INC |
Art. 32 RODO |
20.450.000 EUR |
Wielka Brytania |
WIND TRE S.P.A. |
Art. 5 RODO, Art. 6 RODO, Art. 12 RODO, Art. 24 RODO, Art. 25 RODO |
16.700.000 EUR |
Włochy |
GOOGLE LLC |
Art. 5 RODO, Art. 6 RODO, Art. 17 RODO |
7.000.000 EUR |
Szwecja |
ALLGEMEINE ORTSKRANKENKASSE |
Art. 5 RODO, Art. 6 RODO, Art. 32 RODO |
1.240.000 EUR |
Niemcy |
GEODETA GENERALNY POLSKI („GKK”) |
Art. 5 RODO, Art. 6 RODO |
22.700 EUR |
Polska |
Wciąż najwyższą sankcją jaka została nałożona od momentu obowiązywania przepisów RODO jest przyznana w 2019 r. kara w wysokości 204.600.000 EUR na brytyjskie linie lotnicze British Airways w związku z nie zastosowaniem się do art. 32 RODO (dot. bezpieczeństwa przetwarzania danych osobowych).
Analiza wyżej przedstawionych wyników prowadzi do wniosku, że najwyższe kary przyznawane są dużym międzynarodowym przedsiębiorstwom. Nie wynika to jednak z faktu, że mniejsze firmy nie są kontrolowane – chodzi tutaj raczej o skalę i wagę naruszeń.
Podsumowanie
Pomimo, że od dnia wejścia w życie przepisów Rozporządzenia minęło już przeszło 2 lata, wiele krajów Unii Europejskiej nadal boryka się z problemami dotyczącymi pełnej transpozycji przepisów do krajowego porządku prawnego, zaś przedsiębiorcy z ich realizacją. Jak wynika z badań, w szczególności mniejsze firmy nie realizują wszystkich obowiązków wynikających z RODO, co naraża je na dotkliwe sankcje w postaci kar pieniężnych.
Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.