RODO wskazówki - nasz ekspert o karach UODO i sposobach na ich uniknięcie
Pomimo krótkiego obowiązywania RODO w Polsce historia kar finansowych nakładanych na administratorów danych przez organ nadzorczy jest bardzo pouczająca, i nomen omen, niezwykle bogata. Pierwsza kara finansowa nałożona w marcu 2019 r. na administratora danych przez Prezesa Urzędu Ochrony Danych Osobowych otrzeźwiła wszystkich, nawet tych, którzy wdrażając wymagania RODO, kierowali się zimną kalkulacją i wyborem tzw. "najtańszej opcji". A stara zasada mówi: nie ma rzeczy tanich i dobrych.
Blisko milion złotych kary musi zapłacić administrator danych, z sektora prywatnego, który pomimo ciążącego na nim obowiązku prawnego, nie dopełnił obowiązku informacyjnego względem osób fizycznych, których dane osobowe przetwarzał, a które nie miały o tym wiedzy. Tym samym nie mogły one korzystać z pełni praw zagwarantowanych podmiotom danych w RODO.
I nie miało żadnego znaczenia, że dane osobowe, przetwarzane przez ukaranego administratora pochodziły ze źródeł publicznie dostępnych, gdyż istotą RODO jest ochrona praw i wolności osób, których dane dotyczą, czego częścią jest również transparentne informowanie tych osób o fakcie przetwarzania ich danych osobowych przez administratora.
Zgodnie z decyzją Prezesa UODO z maja 2019 r. podmiot prywatny, działający na podstawie przepisów normujących działalność sportową, został ukarany karą administracyjną w wysokości ponad 55 tys. zł. Powodem nałożenia kary było z jednej strony upublicznienie na stronie internetowej administratora danych zbyt szerokiego zakresu danych osobowych, czym złamano wymagania określone w RODO. Z drugiej – nieskuteczne próby usunięcia upublicznionych danych, czym naruszono prawa i wolności osób fizycznych, a także wymagania określone w art. 5 ust. 1 lit. f RODO, których uszczegółowienie zawarte jest w art. 32 RODO opisującym bezpieczeństwo przetwarzania danych osobowych.
Określając wysokość kary administracyjnej, organ nadzorczy wziął pod uwagę okoliczności łagodzące, tzn. dobrą współpracę podczas prowadzonego postepowania wyjaśniającego, w tym samodzielne zgłoszenie potencjalnego naruszenia, nieumyślny charakter naruszenia, pomimo tego, iż źródłem naruszenia było niedochowanie przez administratora danych należytej staranności, a także usunięcie naruszenia w trakcie prowadzonego postępowania przed organem nadzorczym.
To obrazuje, jak ważne jest profesjonalne wsparcie administratora danych przez wyspecjalizowany – w zarządzaniu procesem ochrony danych osobowych – podmiot.
(…) W ocenie UODO, z mocy powszechnie obowiązującego prawa, każdy administrator danych jest zobowiązany do stosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić właściwy stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych. Potwierdza to, że teoria odnosząca się do zagadnień RODO, a praktyczne działania zmierzające do ochrony praw i wolności podmiotów danych dzieli przepaść.
Jednym z praw podmiotów danych, wynikającym z art. 7 ust. 3 RODO, jest prawo wycofania zgody na przetwarzanie danych osobowych, które musi być równie łatwe jak jej wyrażenie.
Nie oznacza to w praktyce, że administrator danych zobowiązany jest do wprowadzenia takich samych mechanizmów jak w przypadku zbierania zgody na przetwarzanie danych osobowych. Niezastosowanie się do tej zasady prowadzić może do naruszenia ochrony danych osobowych, a w konsekwencji do nałożenia kary przez UODO.
(…) Jak zatem uniknąć potencjalnej kary wynikającej z naruszenia ochrony danych osobowych? Proste. Nie iść na skróty. Ze zrozumieniem realizować wymagania wynikające z RODO, stale budować świadomość podmiotów uczestniczących w przetwarzaniu danych osobowych, działać transparentnie w stosunku do podmiotów danych, podejmować działania adekwatne do zdiagnozowania ryzyka, a przede wszystkim rozciągnąć na całość działania istotę zasady rozliczalności wynikającej z art. 5 ust. 2 RODO. Nie zaszkodzi także wdrożenie w proces ochrony danych osobowych złotej zasady etycznej: przetwarzaj dane osobowe tak, jak chciałbyś, by inni przetwarzali twoje.
Grzegorz Leśniewski
PDP Group sp. z o.o.