W przypadku wystąpienia naruszenia ochrony danych osobowych – na ich administratorze ciąży szereg obowiązków, których niedopełnienie grozi nałożeniem przez organ nadzorczy wysokich kar pieniężnych, sięgających nawet 10 mln euro lub równowartości 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa. W ostatnim czasie, za brak zgłoszenia naruszenia ochrony danych osobowych oraz niezawiadomienie o tym fakcie osób, których dane dotyczą – Prezes UODO obciążył administratora danych karą pieniężną w wysokości prawie 1,5 mln złotych.
Obowiązki administratora danych osobowych
W przypadku naruszenia ochrony danych osobowych, zgodnie z RODO, administrator danych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – ma obowiązek zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku przekroczenia 72 godz. na dokonanie zgłoszenia – należy dołączyć do niego wyjaśnienie przyczyn opóźnienia.
Jedyną okolicznością wyłączającą obowiązek zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych jest występowanie małego prawdopodobieństwa naruszenia praw lub wolności osób fizycznych, w związku z zaistniałym naruszeniem ochrony danych osobowych.
Poza zawiadomieniem organu nadzorczego – jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator danych ma obowiązek zawiadomienia o tym naruszeniu, bez zbędnej zwłoki, wszystkie osoby, których dane dotyczą.
Zawiadomienie osób, dla których naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia ich praw lub wolności nie jest wymagane jedynie w sytuacji, gdy:
- administrator zastosował w stosunku do danych, których dotyczy naruszenie odpowiednie techniczne i organizacyjne środki ochrony, uniemożliwiające odczyt danych osobom nieuprawnionym (np. szyfrowanie),
- administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
- zawiadomienie osób, których dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator zobowiązany jest do wydania publicznego komunikatu lub zastosowania innego podobnego środka, za pomocą którego osoby, których dane dotyczą zostaną poinformowane o naruszeniu w równie skuteczny sposób.
Administratorowi danych grozi kara pieniężna sięgająca nawet 10 mln euro
W przypadku niedopełnienia przez administratora danych obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO i/lub zawiadomienia o naruszeniu osób, których dane dotyczą – organ nadzorczy, czyli Prezes UODO może nałożyć na podmiot (z wyłączeniem jednostek sektora finansów publicznych, instytutów badawczych i NBP) administracyjną karę pieniężną w wysokości sięgającej nawet do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Kwota kary pieniężnej wyrażona w euro podlega przeliczeniu na złote.
Decydując, czy za naruszenie obowiązków ciążących na administratorze danych osobowych, obciążyć go karą pieniężną oraz w jakiej wysokości ją wymierzyć – Prezes UODO każdorazowo ocenia każdy przypadek indywidualnie, biorąc pod uwagę szereg ściśle sprecyzowanych okoliczności. Na wymiar kary mają wpływ m. in.:
- charakter, waga i czas trwania naruszenia, liczba poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- wszelkie wcześniejsze naruszenia ze strony administratora,
- stopień współpracy administratora danych z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.
Przepisy nie są martwe – Prezes UODO wymierza duże kary za naruszenia
Decyzją z 12 marca br., za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych oraz niezawiadomienia o tym naruszeniu osób, których dane dotyczyły Prezes UODO obciążył jeden z banków karą w wysokości 1 440 549 zł.
Naruszenie polegało na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym, jak została ona wcześniej skradziona firmie kurierskiej. W przesyłce tej znajdowały się m. in. takie dane jak imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, serie i numery dowodów osobistych oraz informacje o produktach bankowych. Administrator danych tłumaczył, że nie zgłosił naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę, w krótkim czasie po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek Policji i oświadczyła, że ich nie kopiowała.
Dla UODO okoliczności te nie miały jednak znaczenia, bowiem jak wyjaśnił organ – „oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków.”.
Przy wymiarze kary okolicznością obciążającą dla banku, która wpłynęła na zwiększenie wysokości kary, był fakt, iż nie było to pierwsze naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Kara administracyjna za naruszenie przepisów RODO ma bowiem pełnić funkcję represyjną oraz prewencyjną, wskazując administratorowi, który dokonał naruszenia (i innym podmiotom) na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych.
Zobacz także: decyzja Prezesa UODO z 12 marca 2024 r., nr DKN.5131.59.2022
Jeśli masz pytania lub potrzebujesz pomocy – zapraszamy do kontaktu!
Podstawa prawna:
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L z 2016 r., 119.1)
- ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 r., poz. 1781)
Continued here:
Za niedopełnienie obowiązku zgłoszenia naruszenia ochrony danych osobowych grożą wysokie kary