Nie wdrożyłeś RODO? Narażasz swoją firmę na wysoką karę finansową
Kary za nieprzestrzeganie RODO - o co tyle szumu?
O możliwości narzucenia przez organy nadzorcze krajów Unii Europejskiej wysokich grzywien związanych z nieprzestrzeganiem RODO mówi się wiele. Niektóre organizacje bardzo poważnie traktują kwestię ochrony danych osobowych i wprowadzają wszelkie możliwe zabezpieczenia, które pozwalają im ustrzec się przed nałożeniem kar (prowadzą regularne audyty, korzystają ze wsparcia zewnętrznego, przeprowadzają analizę ryzyka, wdrażają niezbędne dokumenty, zwiększają świadomość swoich pracowników itd.), inne natomiast nie dopuszczają do siebie scenariusza kontroli organu nadzorczego, a tym bardziej wynikających z ewentualnych naruszeń kar.
Przez ostatnie 4 lata organy nadzorcze Państw należących do Unii Europejskiej wydały wiele decyzji o nałożeniu kar za nieprzestrzeganie prawa w zakresie obowiązującego od 25 maja 2018 Rozporządzenia o ochronie danych osobowych. Łącznie w krajach UE i Wielkiej Brytanii nałożono 1015 kar na kwotę 1 612 933 846 euro (stan na marzec 2022 roku).
Górne granice sankcji wskazanych przez RODO to 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku naruszenia m.in. podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody, naruszenia praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim czy nieprzestrzeganie nakazu ograniczenia przetwarzania. Drugi obowiązujący próg to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa w przypadku m.in. niedopełnienia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego czy podmiotu monitorującego.
Najwyższa z dotychczasowych kar została nałożona w lipcu 2021 roku w Luksemburgu na europejską spółkę Amazon Inc. Kara w wysokości 746 000 000 euro jest wynikiem postępowania, które zostało wszczęte po skardze francuskiej organizacji zajmującej się cyfrowymi prawami i wolnością obywateli (La Quadrature du Net). Postępowanie dotyczyło sposobu w jaki Amazon uzyskiwał zgody na spersonalizowane reklamy.
Z kolei we wrześniu 2021 irlandzki organ nadzorczy nałożył karę w wysokości 225 000 000 euro na WhatsApp Ireland Ltd. za to, że spółka niewystarczająco poinformowała swoich użytkowników o tym, w jaki sposób dzieli się ich danymi z Facebookiem i innymi usługami należącymi do grupy kalifornijskiego giganta. W decyzji podkreślono wagę przejrzystego informowania przez administratorów danych osobowych, co zamierzają zrobić z gromadzonymi przez siebie danymi.
Polski Urząd Ochrony Danych Osobowych (UODO) w ciągu ostatnich 4 lat wydał 34 decyzje o nałożeniu kar finansowych: 8 w 2019 roku, 11 w 2020 roku, 14 w 2021 i 2 w okresie od stycznia do marca 2022, na łączną kwotę ponad 3 mln euro (prawie 14 mln złotych) – stan na marzec 2022 roku.
Najczęściej administracyjne kary finansowe są nakładane w Polsce za:
- niezgłoszenie naruszenia w wymaganym czasie,
- uniemożliwienie przeprowadzenia kontroli,
- nieudzielenie informacji i brak współpracy z Prezesem UODO,
- brak współpracy z UODO w czasie prowadzenia czynności kontrolnych,
- brak monitorowania zabezpieczeń przez IOD, wyciek danych osobowych,
- przetwarzanie danych niezgodnie z prawem, bezprawne udostępnienie danych,
- brak technicznych i organizacyjnych środków bezpieczeństwa przetwarzanych danych.
W lutym 2022 roku Prezes UODO nałożył rekordową w historii funkcjonowania Urzędu karę w wysokości ponad 4,9 mln złotych dla Fortum Marketing and Sales Polska S.A. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.
Ważną karą była również jedna z pierwszych nałożonych przez Prezesa UODO w marcu 2019 roku na firmę Bisnode Polska sp. z o.o. za brak spełnienia obowiązków informacyjnych wobec wszystkich osób fizycznych, których dane osobowe przetwarzała spółka prowadzących aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności. Wysokość kary to 943 470 złotych.
Kolejną z szeroko komentowanych decyzji Urzędu była kara nałożona na ClickQuickNow sp. z o.o. w październiku 2019 roku na kwotę 201 559,50 złotych. Kara została nałożona za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. W uzasadnieniu decyzji wskazano, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym).
Wiele z nałożonych przez Prezesa UODO kar dotyczyło niezastosowania przez administratorów danych odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. Jeśli prowadzisz swoją działalność to pamiętaj, że dokumentację w postaci Polityki ochrony danych osobowych, instrukcji zgłaszania naruszeń, a także dokumentów związanych ze spełnieniem obowiązków informacyjnych wobec osób, których dane przetwarzane są przez firmę tj. klauzul informacyjnych, Polityk prywatności i cookies kwalifikuje się jako jeden z wyżej wspomnianych środków. Dlatego niezwykle istotne jest wdrożenie w organizacji odpowiednich dokumentów i procedur.
Biznes a RODO
Przedsiębiorco, czy Ty dostosowałeś już swoją działalność do wymogów RODO?
Większość organizacji liczących się na rynku międzynarodowym w ciągu ostatnich czterech lat tj. od 25 maja 2018 roku, czyli od momentu wejścia w życie RODO zadbała o jego wdrożenie i przeszkolenie swoich pracowników w zakresie ochrony danych osobowych.
Coraz częściej osoby zarządzające firmami dostrzegają, że istotnym elementem prowadzenia działalności jest zagwarantowanie bezpieczeństwa przetwarzanych przez nich danych osobowych, co więcej przedsiębiorcy zauważają, że ochrona danych osobowych tak samo jak ochrona tajemnicy przedsiębiorstwa stanowią jej wartość ekonomiczną.
RODO pokazuje jak ważne jest odpowiednie zabezpieczenie i zarządzanie bazami danych i procesami przetwarzania danych osobowych, które wraz z rozwojem nowych technologii stanowią o wartości przedsiębiorstwa lub organizacji. Kampanie marketingowe oparte na danych osobowych i informacjach są podstawą do zaistnienia na bardzo wymagającym rynku.
Co zrobić by pozostać w zgodzie z RODO i uniknąć kar
Organizacje, na różne sposoby próbują dostosować swoją działalność do często w ich opinii restrykcyjnych wymogów rozporządzenia. W większości przypadków, wiąże się to z koniecznością poniesienia nie tylko wysokich kosztów finansowych, ale również zainwestowania czasu i energii kosztem innych działań biznesowych. Z naszego doświadczenia wiemy, że często jest to również impuls do doskonalenia w zakresie podejścia procesowego, zwiększenia bezpieczeństwa informatycznego, rozbudowy programów ciągłości działania czy optymalizacji zasobów.
Pamiętaj, że spełnienie wymogów RODO, które pomogą Tobie zminimalizować ryzyko nałożenia kary finansowej na przedsiębiorstwo może okazać się mniej skomplikowane niż mógłbyś zakładać.
Jakie minimum wdrożyć?
Zgodnie z art. 24 i 32 RODO administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych służących ochronie danych.
Wdrożenie środków, w tym odpowiednich dokumentów to jeden z najważniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności ze standardami RODO. Pamiętaj, że ustanowione środki muszą być dostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników. Wdrożone środki powinny być także adekwatne do oszacowanego ryzyka czynności przetwarzania danych, a administrator musi być w stanie wykazać ich skuteczność.
W celu wykazania przestrzegania przepisów prawa powinieneś przyjąć wewnętrzne polityki i wdrożyć odpowiednie środki bezpieczeństwa w tym m.in.:
- ustanowić zasady dostępu do danych osobowych i zarządzania uprawnieniami,
- ustanowić zasady bezpiecznego korzystania w systemów informatycznych, w tym formy przechowywania i udostępniania danych,
- ustanowić zasady bezpiecznej pracy z dokumentami w wersji wydruków,
- uwzględniać zasad ochrony danych w fazie projektowania nowych procesów i systemów oraz zasadą domyślnej ochrony danych,
- korzystać z usług podmiotów przetwarzających dane na jego zlecenie, zapewniających wystarczającą gwarancję bezpieczeństwa powierzanych im danych,
- zapewnić zdolność do ciągłej gwarancji poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zapewnić zdolność do szybkiego dostępu do danych w razie incydentu fizycznego lub technicznego,
- przeprowadzać regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zaprojektowanie odpowiednich zabezpieczeń danych osobowych oraz sposobu ich weryfikacji można powierzyć specjalistom, którzy zadbają o kwestie związane z ochroną przetwarzanych w niej danych.
Natomiast sporą część działań możesz zrealizować samodzielnie lub ponosząc niewielkie koszty np. związane z zakupem gotowych pakietów ze wzorami dokumentów, które w bardzo łatwy sposób możesz dostosować do potrzeb swojej organizacji.
Wzory dokumentów dopasowane do różnych form działalności są dostępne na stronie: https://lexdigital.pl/wzory/. Dokumenty i procedury zawierają przejrzyste instrukcje i komentarze, które przeprowadzą Cię przez proces ich wypełniania. Co istotne, doświadczenie w obszarach prawnych nie jest potrzebne, żeby dostosować je i wdrożyć w organizacji.
Podsumowanie
Przygotowanie swojej firmy do spełnienia wymagań RODO, tj. wdrożenie zasad, które pozwolą na zachowanie bezpieczeństwa przetwarzanych informacji jest sporym wyzwaniem. Jednakże korzystając z gotowych rozwiązań oraz stosując się do opisanych powyżej zasad możesz w znacznym stopniu uprościć ten proces i jednocześnie zminimalizować ryzyko nałożenia na Twoją organizację administracyjnej kary finansowej.
Zapraszamy również do lektury artykułu “Przykłady wymagań RODO i możliwości ich realizacji”, w którym wskazano kilka najistotniejszych kwestii, które należy spełnić chcąc pozostać w zgodzie z RODO tj. kwestii dotyczących odpowiedniego zabezpieczenia danych osobowych w organizacji.
Artykuł PR-owy LexDigital.pl