Jakie są kary RODO za nieprzestrzeganie przepisów?

Po co są kary? Prawda o karach za naruszenia ochrony danych przed RODO

Jakie są kary za nie przestrzeganie RODO?

R

ozpoczynając rozważanie nt. kary RODO, odpowiedzmy sobie w ogóle na pytanie po co są kary. Najlepszą odpowiedzią jest życie. Od 1997 roku, gdy została wprowadzona pierwsza ustawa o ochronie danych osobowych w Polsce, pomimo istnienia kar grzywny, ograniczenia, a nawet pozbawienia wolności, jesteśmy w stanie z pamięci wyliczyć ilość tego typu wydanych kar. Dodatkowo jako naród, posiadamy cechy, które z jednej strony świadczą o naszej inteligencji, ale również czasem przebiegłości. W ochronie danych osobowych objawiało się to następująco.

Przeciętny Polak, przedsiębiorca, dedukował, że jeśli UODO zatrudnia 100 inspektorów i mają jedynie delegaturę w Warszawie, to kontrolując urzędy, szkoły, korporacje, cały sektor zdrowia oraz spółdzielnie, to prawdopodobieństwo kontroli w „mojej firmie” jest bliskie 0/100% kontroli kończy się wezwaniem do podjęcia działań naprawczych w 14 dni i dopiero, jeśli tego nie zrobimy, może trafić wniosek do sądu, a od niego jeszcze 2-3 lata do grzywny, która zamknie się w kwocie 10 000 zł. Jeśli więc, koszt wdrożenia zgodności z ochroną danych osobowych w mojej organizacji to 30 000 zł, to nie opłaca mi się…

Kary, jako nieodłączna część RODO

Nawet, jako audytorzy certyfikujący spotkaliśmy kilka lat temu jeszcze ciekawsze podejście, które tyczyło się znanej wszystkim firmy, która posiadała ISO 27001. W trakcie audytu szybko ustalone zostało, że firma nie realizuje zasad przetwarzania danych osobowych tj. nie realizuje w zakresie dokumentacji, tego o czym mówiła ustawa o ochronie danych osobowych.

Dodatkowo organizacja posiadała tzw. akceptację ryzyka coś a la obecną oceną skutków, z której wynikało, że koszt realizacji tych obowiązków jest wyższy niż ewentualne kary. Dlatego wyznaczono kapitał zapasowy w wysokości 250 000 zł, na ewentualne poniesienie konsekwencji, jednak zarząd postanowił nie wydawać ani grosza na wdrożenie tego, o czym mówiła ustawa o ochronie danych oraz tzw. Rozporządzenie MSWiA w sprawie prowadzenia odpowiedniej dokumentacji.

Wniosek: bez tzw. kija, ale z użyciem przysłowiowej marchewki nie było zamierzonego efektu. Mało tego, większość obecnych problemów jakie dostrzegamy, to problem wielu lat brak adekwatnej reakcji, na to co się działo.

Nie mam się czego obawiać?

Często spotyka się pogląd, że nie ma sensu wprowadzanie w 2020 roku odpowiednich zabezpieczeń, gdyż są „taaakie” technologie, że jeśli ktoś chce się włamać i wykraść nasze dane to zrobi to, a dawniej to było inaczej. Bzdura! Obecnie systemy informatyczne mają wyższy wskaźnik bezpieczeństwa. W latach 1997-2010, gdy prym wiódł Windows XP, urzędy, a nawet korporacje były zupełnie bezbronne, chociaż taka informacja nie mogła być publiczna. Pasjonat informatyki z 8 klasy podstawówki lub późniejszego gimnazjum, potrafił wyszukać odpowiednią informację w Google, by włamać się na dowolny komputer np. korzystając z publicznego protokołu polskiego komunikatora GaduGadu. Wysuwający się CD-ROM, odwrócony widok pulpitu, a nawet przechwycenie obrazu z kamery lub dźwięku z mikrofonu, były dziecinnie proste. Kwestia znajomości podstaw angielskiego i delikatne zamiłowanie do informatyki.

Obecnie trzeba posiadać bardziej zaawansowaną wiedzę i lepsze, często płatne narzędzia, a możliwość włamania nie determinuje, zaprzestania implementacji zabezpieczeń. To tak jakbyśmy przestali korzystać z alarmów w samochodzie oraz z zamykania drzwi w naszych domach. Po co? Przecież są technologie by te wszystkie zabezpieczenia ominąć… Takie podejście jest destrukcyjne i nie jest praktyczne, gdyż wdrażając zabezpieczenia, najczęściej minimalizujemy ryzyko, a nie je wykluczamy. Na tym polega świat. Gdy zakładamy kask czterolatkowi, ucząc go jeździć na rowerze, minimalizujemy ryzyko obrażeń, ale nie gwarantujemy pełnego bezpieczeństwa. Zostawmy już te filozofie i wróćmy do tematu kar ?

Jeremy Bentham w pracy pod tytułem Panoptikon albo Dom Nadzoru opisuje ideę nowych zasad budowy wszelkich zakładów karnych, w których wszelkiego rodzaju osoby winny się znajdować pod nadzorem, w szczególności więzień, ale też aresztów, fabryk, warsztatów, przytułków, lazaretów, manufaktur, szpitali, domów wariatów i szkół (1787).

Alternatywa?

Organy nadzorcze, uwielbiają wprowadzanie zasad monitorowania na wzorze Panoptikonu (z gr. Wszystkowidzący) tj. więzienia, w którym strażnicy mają możliwość obserwowania osadzonych, w taki sposób, żeby oni nie wiedzieli, czy i kiedy są obserwowani.

Takie podejście, przekładając na Urząd Ochrony Danych Osobowych staje się obecnie bardziej realne, niż w przypadku GIODO. Wzorem do naśladowania może być Krajowa Administracja Skarbowa. Nie wróżąc z fusów, wiemy, że w Urzędzie Ochrony Danych utworzono sekcję ds. egzekucji, której powstanie gwarantuje to, że kary będą.

Mało tego, w momencie gdy powstaje ten artykuł, łączna kwota nałożonych kar, przewyższa kilka milionów złotych. To wierzchołek góry lodowej, w porównaniu do skuteczności w nakładaniu kar przez naszych sąsiadów. Berlński, odpowiednik urzędu ochrony danych osobowych, który nadzoruje przestrzeganie RODO w konkretnym landzie (coś a la rejon/województwo), zakończył już set kontroli.

Czy dostanę grzywnę, z tytułu RODO?

Grzywny RODO, mają więc na celu uczynienie niezgodności kosztownym błędem zarówno dla dużych, jak i małych firm, a nawet dla jednostek samorządu terytorialnego. Dla tych ostatnich największą karą RODO jest uderzenie w wizerunek i zaufanie, gdyż np. opozycyjna rada, może podnosić nieudolność włodarza, która doprowadziła do kary dla samorządu.

Gdy już wiemy, że kary to nie mit, lecz obecne realia, które należy wziąć pod uwagę, realizując cele naszych organizacji, to porozmawiamy o tym, ile wynosi grzywna RODO i jak organy kontroli tj. urząd ochrony danych może obliczać te konkretne kary.

Ogólne rozporządzenie Unii Europejskiej w sprawie ochrony danych (RODO) zostało opracowane tak, aby dotyczyło wszystkich rodzajów przedsiębiorstw, od wielonarodowych po mikroprzedsiębiorstwa. Grzywny nałożone przez RODO na podstawie art. 83 są elastyczne i mają być dostosowane do firmy. Każda organizacja, która działa niezgodnie z RODO, niezależnie od jej wielkości, ponosi ogromną odpowiedzialność.

Poniżej przyjrzymy się grzywną administracyjnym, które zostały nałożone do tej pory, by wysunąć wniosek, w jaki sposób naliczane są grzywny oraz jakie naruszenia mogą podlegać sankcjom karnym. Mamy nadzieję, że ten poradnik, pomoże działom finansowym oraz osobom, odpowiedzialnym za obliczanie skutków, wynikających z konkretnych ryzyk, wynikających z niezgodności.

Dwie kategorie grzywien RODO

RODO wyraźnie stwierdza, że ​​niektóre naruszenia są poważniejsze niż inne.

Mniej poważne naruszenia mogą skutkować nałożeniem grzywny w wysokości do 10 mln EUR lub 2% rocznych światowych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa. Obejmują one wszelkie naruszenia artykułów regulujących:

Poważniejsze naruszenia są sprzeczne z zasadami stricte prawa do prywatności i prawa do bycia zapomnianym, które stanowią sedno RODO. Tego rodzaju naruszenia mogą skutkować nałożeniem kary RODO w wysokości do 20 mln EUR lub 4% rocznych światowych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa. Obejmują one wszelkie naruszenia artykułów regulujących:

W Polsce przez wiele miesięcy krążyła legenda o Panu, który wykonał telefon do szpitala, przedstawiając się i informując o zrobieniu kupy na schodach szpitala. W związku z powyższym, na mocy RODO, składał żądanie o przeniesienie jego danych osobowych do najbliższej pracowni analitycznej, w tym wrażliwych, gdyż ów materiał zawiera informacje o jego stanie zdrowia ?

Obejmują one również:

Omówiliśmy kary administracyjne… Artykuł 82 daje osobom, których dane dotyczą, prawo dochodzenia odszkodowania od organizacji, które wyrządziły im szkodę materialną lub niematerialną w wyniku naruszenia RODO.

Zatrzymajmy się na tym etapie na moment. To bardzo ważne! Przywołajmy pierwszą polską karę, która generalnie wynikała z przetwarzania danych firm, w tym jednoosobowych, których dane zostały pobrane z Centralnej Ewidencji Działalności Gospodarczych (CEIDG), zaś ukarana spółka nie dopełniła obowiązku informacyjnego. Z tego tytułu otrzymała około milion złotych kary.

Jednak nie w tym rzecz! Urząd Ochrony Danych Osobowych, nakazał dopełnienie skutecznego poinformowania firm o przetwarzaniu ich danych osobowych tj. listownie. Wg naszych wyliczeń, wg oferty Poczty Polskiej, koszt dla ukaranego podmiotu dopełnienia tego obowiązku to około 20 milionów złotych. Doliczmy do tego ewentualne pozwy cywilne i możemy dostrzec łatwy sposób do utonięcia firmy.

Najczarniejszy scenariusz kary RODO?

Wiadomo, że kolejna jeszcze większa kara, ale organ ochrony danych osobowych może zakazać przetwarzania danych osobowych przez określony czas np. dalszej kontroli.

Ile wynosi kara RODO?

Zgodnie z RODO grzywny są nakładane przez organ ochrony danych w każdym kraju UE. Organ ten ustali, czy doszło do naruszenia, i wyznaczy surowość kary. Urzędy Ochrony Danych, wykorzystują następujące 10 kryteriów, aby ustalić, czy grzywna zostanie naliczona i w jakiej wysokości:

Jeśli organy regulacyjne stwierdzą, że organizacja ma wiele naruszeń RODO, zostanie ona ukarana tylko za najpoważniejsze, pod warunkiem, że wszystkie naruszenia są częścią tej samej operacji przetwarzania. Najczęściej pojedyncze naruszenie, związane z konkretną kategorią, eskaluje i bezpośrednio powoduje inne.

Odpowiedzialność administratora danych

Wiele organizacji korzysta z usług stron trzecich, takich jak poczta, do przetwarzania swoich danych. Chociaż może to być pomocne w przestrzeganiu RODO, jeśli strona trzecia ma wyższą zdolność technologiczną, nie zwalnia organizacji zatrudniającej (tj. Administratora) z zapewnienia, że ​​dane osobowe są przetwarzane zgodnie z RODO. O ile administrator nie może jasno wykazać, że „nie był w żaden sposób odpowiedzialny za zdarzenie powodujące szkodę”, będzie w pełni odpowiedzialny za wszelkie naruszenia spowodowane przez podwykonawcę, który działa niezgodnie z prawem.

Z tego powodu ważne jest uważne sprawdzanie usług zewnętrznych, z których korzystamy, aby upewnić się, że są odpowiednie w zakresie bezpieczeństwa. Kolejna kara RODO – tym razem przez brak anonimizacji danych.

Co zrobić?

Czynnie i aktywnie zaangażować się w zapewnienie bezpieczeństwa informacji, pamiętając o prowadzeniu odpowiedniej dokumentacji tj. zebraniu poświadczeń, że konkretne czynności zostały wykonane. Może nam w tym pomóc zarówno ekspert RODO, prawnik, nasz własny dział IT, jak również kompleksowe narzędzie jak Kryptos72. Sprawdź już teraz wersję TRIAL – programu do RODO.

Podsumowanie

Jakie są kary za nieprzestrzeganie RODO?

Surowe kary pieniężne RODO mają na celu zapewnienie, że najlepsze praktyki w zakresie bezpieczeństwa danych są przestrzegane. Ewentualne konsekwencje są zbyt kosztowne, aby nie stosować zasad RODO. Przyszłość pokaże nam, w jaki sposób będą nakładane kary przez różne państwa członkowskie UE, grzywny te pojawiają się w każdej organizacji, która nie czyni postępów w celu zapewnienia zgodności z RODO.

Z PROGRAMEM DO RODO

  • Stosowanie odpowiednich środków i narzędzia
  • Zarządzanie obiegiem dokumentacji
  • Monitorowanie przestrzegania RODO

BEZ PROGRAMU DO RODO

  • Brak stosownej dokumentacji
  • Brak przeszkolonego personelu
  • Brak zastosowania art. 5 RODO