Dotychczas Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) wydał pięć decyzji nakładających administracyjne kary pieniężne za naruszenie przepisów dotyczących ochrony danych osobowych. W ostatnim komunikacie Prezes UODO podkreślił, że wysokość administracyjnej kary pieniężnej uzależniona jest przede wszystkim od okoliczności konkretnej sprawy. Przed wydaniem decyzji Prezes Urzędu Ochrony Danych Osobowych dokonuje dokładnej analizy stanu faktycznego i prawnego na dzień wydania owej decyzji.
Bisnode Polska sp. z o.o.
Pierwsza kara za naruszenie RODO, w wysokości 943.470,00 PLN została nałożona na spółkę Bisnode Polska sp. z o.o., która przetwarza dane osobowe pozyskane ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego). Postępowanie wszczęte przez Prezesa UODO dotyczyło niedopełnienia przez spółkę obowiązku informacyjnego, o którym mowa w art. 14 RODO wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których spółka nie posiadała adresu e-mail w swojej bazie danych. W toku prowadzonego postępowania urząd ustalił, iż obowiązek, o którym mowa w art. 14 RODO został przez spółkę dopełniony w odniesieniu do 682.439 osób fizycznych prowadzących działalność gospodarczą, zaś w stosunku do 6.671.368 osób spółka nie spełniła powyższego indywidualnego obowiązku informacyjnego. Prezes UODO, w komunikacie po wydaniu owej decyzji, podkreślił, że:
bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO.
Spółka twierdziła zaś, że nie wykonała obowiązku informacyjnego, gdyż generowałoby to wysokie koszty. Klauzula informacyjna została zamieszczona na stronie internetowej, niemniej jednak według Prezes UODO powyższe było niewystarczające.
Dolnośląski Związek Piłki Nożnej z siedzibą we Wrocławiu
Kolejną administracyjną karę pieniężną Prezes Urzędu Ochrony Danych Osobowych nałożył na Dolnośląski Związek Piłki Nożnej z siedzibą we Wrocławiu za naruszenie przepisów RODO, polegające na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie numeru PESEL oraz adresu zamieszkania. Związek ujawnił ww. dane na stronie internetowej. Kara za ujawnienie danych, w porównaniu do pierwszej, wynosiła „jedynie” 55.750,50 PLN. W ocenie Prezesa UODO,
zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 RODO ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO – integralności i poufności.
Morele . net
Trzecia pieniężna kara za naruszenie RODO – dotychczas najwyższa – bowiem w wysokości 2.830.410 PLN została nałożona na spółkę Morele.net sp. z o.o. za naruszenie zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO. Według Prezesa, spółka nie zapewniła bezpieczeństwa i poufności przetwarzanych danych osobowych swoich klientów , co spowodowało, że dostęp do ich danych uzyskały osoby nieuprawnione oraz za naruszenie zasady legalności, rzetelności i rozliczalności wyrażonych w RODO. Jak zostało wskazane w decyzji – decydując o nałożeniu tak wysokiej kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
- Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa, co skutkowało dwukrotnym uzyskaniem dostępu do tych danych przez osobę bądź osoby nieuprawnione, a w konsekwencji również i dostępu do bazy danych wszystkich klientów spółki w łącznej liczbie około 2.200.000 osób;
- stwierdzone naruszenie, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2.200.000 osób, do których danych dostęp miała osoba bądź osoby nieuprawnione; co istotne, wobec dwukrotnego naruszenia poufności systemu informatycznego spółki, wobec 600 osób ryzyko to jest proporcjonalnie większe;
- naruszenie przez spółkę obowiązków zastosowania środków zapewniających bezpieczeństwo przetwarzanych danych, przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami ROD
- mimo że naruszenie polegające na niezapewnieniu bezpieczeństwa i poufności danych trwało w krótkim okresie, to jednakże dotyczyło znacznej liczby osób fizycznych; wyciek danych 2.200.000 osób – nawet jeśli jest zdarzeniem krótkotrwałym czy jednorazowym – winien być oceniany surowo, ze względu na charakter i duża wagę oraz zakres, a także z uwagi na jego możliwe długofalowe następstwa dla podmiotów danych.
Burmistrz Aleksandrowa Kujawskiego
Czwarta kara pieniężna – dotychczas najniższa (jedynie 40.000 zł PLN) i jako nałożona po raz pierwszy na podmiot publiczny (jednostkę samorządu terytorialnego) – została nałożona na Burmistrza Aleksandrowa Kujawskiego m.in. za:
- brak zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W konsekwencji braku takiej umowy Burmistrz Aleksandrowa Kujawskiego dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO zasady: danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f);
- brak wewnętrznych procedur dotyczących przeglądu zasobów dostępnych w Biuletynie Informacji Publicznej w zakresie ustalenia okresu ich publikowania (przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat). Burmistrz Aleksandrowa Kujawskiego naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO;
- brak analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube, tj. za naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
ClickQuickNow sp. z o.o.
Piąta – najnowsza kara za naruszenie RODO w wysokości 201 559,50 zł, nałożona na spółkę ClickQuickNow sp. z o.o. z siedzibą w Warszawie za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Zdaniem Prezesa UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). W komunikacie po wydaniu decyzji, Prezes UODO zaznaczył, że
spółka naruszyła przepisy RODO, gdyż stosowany przez nią mechanizm wycofywania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody. Po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a prawo tego nie wymaga. Co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.
Podkreślić należy, że przy ustalaniu wysokości kary pieniężnej Prezes UODO nie uwzględnił żadnej okoliczności łagodzącej. Zdaniem Prezesa działanie spółki było umyślne.
Od czego zależy wysokość kary za naruszenie RODO?
Wysokość nałożonych dotychczas przez Prezesa UODO kar potwierdza jak istotne jest nie tylko prawidłowe wdrożenie w organizacji przepisów z zakresu ochrony danych osobowych, polegające nie tylko na przygotowaniu stosownej dokumentacji, ale również wdrożenie środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych. W tym kontekście podkreślić należy, że zgodnie z przepisami RODO przy ustalaniu wysokości kary Prezes UODO bierze pod uwagę:
- charakter, waga i czas trwania naruszenia;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
- stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Przypomnieć również należy, że Prezes UODO nakłada karę pieniężną za naruszenie przepisów dotyczących ochrony danych osobowych w wysokości:
- do 10.000.000 EURO lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
- do 20.000.000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
- do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
- do 10 000 złotych na państwowe i samorządowe instytucje kultury.