W związku z tym, że powoli dobiega końca rok 2020, można dokonać pierwszych podsumowań z działalności organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów RODO w Polsce i na obszarze całej Unii Europejskiej. Kompletny raport Urzędu Ochrony Danych Osobowych za rok 2020 ukaże się dopiero w 2021 r., jednakże na ten moment można wskazać najczęściej kontrolowane obszary i naruszenia do jakich doszło w obecnym roku.

Raport Komisji Europejskiej

Jak wskazano wyżej, nie ukazał się jeszcze raport Urzędu Ochrony Danych Osobowych dotyczący stanu ochrony danych w Polsce. Jednakże w czerwcu 2020 r. opublikowano sprawozdanie Komisji Europejskiej (także jako: „KE”) dotyczące oceny realizacji przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04; dalej jako: „RODO”).

W dokumencie wskazano, że rozwiązania zaproponowane w Rozporządzeniu okazały się elastyczne pod względem wspierania rozwiązań w nieprzewidzianych okolicznościach, takich jak np. epidemia koronawirusa. Podkreślono także, że coraz więcej państw członkowskich dostosowuje wewnętrzne przepisy do ogólnego rozporządzenia o ochronie danych osobowych. Kolejną pozytywną konkluzją płynącą z opracowania Komisji Europejskiej jest fakt, że przedsiębiorstwa coraz częściej postrzegają dostosowanie organizacji do przepisów o ochronie danych osobowych, jako silną przewagę konkurencyjną.

Bardzo ważnym wnioskiem z badania KE jest rosnąca świadomość obywateli o przysługujących im prawach. Według wyników ankiety przeprowadzonej przez Agencję Praw Podstawowych Unii Europejskiej, 69 proc. ludności Unii Europejskiej słyszało o RODO, zaś 71 proc. osób słyszało o swoim krajowym organie ochrony danych. Ponadto Komisja poinformowała, że od maja 2018 roku zintensyfikowany został dialog dwustronny, regionalny i wielostronny, wspierając globalną kulturę poszanowania prywatności i konwergencję między różnymi systemami ochrony prywatności z korzyścią zarówno dla obywateli, jak i przedsiębiorstw.

Komisarz do spraw wymiaru sprawiedliwości Didier Reynders stwierdził, że RODO spełnia swoje cele, jednakże  „jak pokazuje sprawozdanie, wciąż możemy zrobić więcej. Potrzebujemy na przykład w Unii większej spójności w stosowaniu przepisów. Jest to ważne dla obywateli i przedsiębiorstw, a zwłaszcza dla małych i średnich firm. Musimy również zapewnić obywatelom możliwość pełnego korzystania z przysługujących im praw. Komisja będzie monitorować postępy w ścisłej współpracy z Europejską Radą Ochrony Danych i w ramach regularnej wymiany informacji z państwami członkowskimi, tak aby RODO mogło w pełni wykorzystać swój potencjał” .

Najwyższe kary przyznane w 2020 roku

Należy zauważyć, że państwa UE coraz lepiej realizują założenia określone przez unijnego ustawodawcę. Cały czas, zarówno w kraju jak i w innych państwach UE, dochodzi jednak do naruszeń przepisów o ochronie danych, co skutkuje nakładaniem przez organy wysokich kar.

Dotychczas, w 2020 r. najwyższa kara w wysokości 35.258.708 EUR została nałożona przez niemiecki organ ochrony danych osobowych na firmę modową – H&M z siedzibą w Hamburgu. Przedsiębiorstwo gromadziło dane wrażliwe pracowników. Co więcej, w wyniku awarii systemu informatycznego, dostęp do nich uzyskała cała firma (więcej na ten temat pisaliśmy tutaj).

Następne w kolejce są Włochy – ukarano tam  operatora telekomunikacyjnego niebagatelną kwotą w wysokości 27.800.000 EUR za naruszenie przepisów RODO, a mianowicie art. 5, art. 6, art. 17, art. 21 oraz art. 32. Naruszenia te dotyczyły w szczególności braku zgody na działania marketingowe (telemarketing i cold calling), nieprawidłowego zbierania zgód w aplikacjach TIM, braku odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych oraz braku określonych okresów przechowywania danych klientów. Zakres i skala naruszeń spowodowała, że organ zdecydował się nałożyć tak wysoką karę.

Bardzo wysoka kara została także nałożona w Wielkiej Brytanii na Marriott International. W 2018 roku Marriott zgłosił organowi, że doszło do incydentu cybernetycznego w związku z którym różnorodne dane osobowe zawarte w około 339 milionach rekordów gości na całym świecie zostały ujawnione. Dochodzenie wykazało, że podmiot nie przeprowadził wystarczającej analizy due diligence wskutek czego jego systemy nie zostały odpowiednio zabezpieczone. Organ uznał, iż kara mogłaby być jeszcze bardziej dotkliwa, jednakże było to pierwsze tego typu naruszenie Marriott, zaś sam podmiot w pełni współpracował w dochodzeniu i podjął kroki w celu powiadomienia zainteresowanych osób o naruszeniu, co przemawiało na jego korzyść.

W Polsce zaś, najwyższa w tym roku kara w wysokości 22.700 EUR została nałożona na Geodetę Generalnego. Naruszenie dotyczyło przetwarzania danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej.

Wciąż najwyższą sankcją jaka została nałożona od momentu obowiązywania przepisów RODO jest przyznana w 2019 r. kara w wysokości 204.600.000 EUR na brytyjskie linie lotnicze British Airways w związku z nie zastosowaniem się do art. 32 RODO (dot. bezpieczeństwa przetwarzania danych osobowych).

Analiza wyżej przedstawionych wyników prowadzi do wniosku, że najwyższe kary przyznawane są dużym międzynarodowym przedsiębiorstwom. Nie wynika to jednak z faktu, że mniejsze firmy nie są kontrolowane – chodzi tutaj raczej o skalę i wagę naruszeń.

Podsumowanie

Pomimo, że od dnia wejścia w życie przepisów Rozporządzenia minęło już przeszło 2 lata, wiele krajów Unii Europejskiej nadal boryka się z problemami dotyczącymi pełnej transpozycji przepisów do krajowego porządku prawnego, zaś przedsiębiorcy z ich realizacją. Jak wynika z badań, w szczególności mniejsze firmy nie realizują wszystkich obowiązków wynikających z RODO, co naraża je na dotkliwe sankcje w postaci kar pieniężnych.

Kancelaria TURCZA prowadzi kompleksową obsługę w zakresie ochrony danych osobowych w organizacji – jeśli nie wiedzą Państwo czy w Państwa organizacji wprowadzone zostały odpowiednie procedury związane z przestrzeganiem przepisów rozporządzenia RODO – zapraszamy do kontaktu.