Jakie są kary RODO za nieprzestrzeganie przepisów?

R

ozpoczynając rozważanie nt. kary RODO, odpowiedzmy sobie w ogóle na pytanie po co są kary. Najlepszą odpowiedzią jest życie. Od 1997 roku, gdy została wprowadzona pierwsza ustawa o ochronie danych osobowych w Polsce, pomimo istnienia kar grzywny, ograniczenia, a nawet pozbawienia wolności, jesteśmy w stanie z pamięci wyliczyć ilość tego typu wydanych kar. Dodatkowo jako naród, posiadamy cechy, które z jednej strony świadczą o naszej inteligencji, ale również czasem przebiegłości. W ochronie danych osobowych objawiało się to następująco.

Przeciętny Polak, przedsiębiorca, dedukował, że jeśli UODO zatrudnia 100 inspektorów i mają jedynie delegaturę w Warszawie, to kontrolując urzędy, szkoły, korporacje, cały sektor zdrowia oraz spółdzielnie, to prawdopodobieństwo kontroli w „mojej firmie” jest bliskie 0/100% kontroli kończy się wezwaniem do podjęcia działań naprawczych w 14 dni i dopiero, jeśli tego nie zrobimy, może trafić wniosek do sądu, a od niego jeszcze 2-3 lata do grzywny, która zamknie się w kwocie 10 000 zł. Jeśli więc, koszt wdrożenia zgodności z ochroną danych osobowych w mojej organizacji to 30 000 zł, to nie opłaca mi się…

Kary, jako nieodłączna część RODO

Nawet, jako audytorzy certyfikujący spotkaliśmy kilka lat temu jeszcze ciekawsze podejście, które tyczyło się znanej wszystkim firmy, która posiadała ISO 27001. W trakcie audytu szybko ustalone zostało, że firma nie realizuje zasad przetwarzania danych osobowych tj. nie realizuje w zakresie dokumentacji, tego o czym mówiła ustawa o ochronie danych osobowych.

Dodatkowo organizacja posiadała tzw. akceptację ryzyka coś a la obecną oceną skutków, z której wynikało, że koszt realizacji tych obowiązków jest wyższy niż ewentualne kary. Dlatego wyznaczono kapitał zapasowy w wysokości 250 000 zł, na ewentualne poniesienie konsekwencji, jednak zarząd postanowił nie wydawać ani grosza na wdrożenie tego, o czym mówiła ustawa o ochronie danych oraz tzw. Rozporządzenie MSWiA w sprawie prowadzenia odpowiedniej dokumentacji.

Wniosek: bez tzw. kija, ale z użyciem przysłowiowej marchewki nie było zamierzonego efektu. Mało tego, większość obecnych problemów jakie dostrzegamy, to problem wielu lat brak adekwatnej reakcji, na to co się działo.

Nie mam się czego obawiać?

Często spotyka się pogląd, że nie ma sensu wprowadzanie w 2020 roku odpowiednich zabezpieczeń, gdyż są „taaakie” technologie, że jeśli ktoś chce się włamać i wykraść nasze dane to zrobi to, a dawniej to było inaczej. Bzdura! Obecnie systemy informatyczne mają wyższy wskaźnik bezpieczeństwa. W latach 1997-2010, gdy prym wiódł Windows XP, urzędy, a nawet korporacje były zupełnie bezbronne, chociaż taka informacja nie mogła być publiczna. Pasjonat informatyki z 8 klasy podstawówki lub późniejszego gimnazjum, potrafił wyszukać odpowiednią informację w Google, by włamać się na dowolny komputer np. korzystając z publicznego protokołu polskiego komunikatora GaduGadu. Wysuwający się CD-ROM, odwrócony widok pulpitu, a nawet przechwycenie obrazu z kamery lub dźwięku z mikrofonu, były dziecinnie proste. Kwestia znajomości podstaw angielskiego i delikatne zamiłowanie do informatyki.

Obecnie trzeba posiadać bardziej zaawansowaną wiedzę i lepsze, często płatne narzędzia, a możliwość włamania nie determinuje, zaprzestania implementacji zabezpieczeń. To tak jakbyśmy przestali korzystać z alarmów w samochodzie oraz z zamykania drzwi w naszych domach. Po co? Przecież są technologie by te wszystkie zabezpieczenia ominąć… Takie podejście jest destrukcyjne i nie jest praktyczne, gdyż wdrażając zabezpieczenia, najczęściej minimalizujemy ryzyko, a nie je wykluczamy. Na tym polega świat. Gdy zakładamy kask czterolatkowi, ucząc go jeździć na rowerze, minimalizujemy ryzyko obrażeń, ale nie gwarantujemy pełnego bezpieczeństwa. Zostawmy już te filozofie i wróćmy do tematu kar ?

Jeremy Bentham w pracy pod tytułem Panoptikon albo Dom Nadzoru opisuje ideę nowych zasad budowy wszelkich zakładów karnych, w których wszelkiego rodzaju osoby winny się znajdować pod nadzorem, w szczególności więzień, ale też aresztów, fabryk, warsztatów, przytułków, lazaretów, manufaktur, szpitali, domów wariatów i szkół (1787).

Alternatywa?

Organy nadzorcze, uwielbiają wprowadzanie zasad monitorowania na wzorze Panoptikonu (z gr. Wszystkowidzący) tj. więzienia, w którym strażnicy mają możliwość obserwowania osadzonych, w taki sposób, żeby oni nie wiedzieli, czy i kiedy są obserwowani.

Takie podejście, przekładając na Urząd Ochrony Danych Osobowych staje się obecnie bardziej realne, niż w przypadku GIODO. Wzorem do naśladowania może być Krajowa Administracja Skarbowa. Nie wróżąc z fusów, wiemy, że w Urzędzie Ochrony Danych utworzono sekcję ds. egzekucji, której powstanie gwarantuje to, że kary będą.

Mało tego, w momencie gdy powstaje ten artykuł, łączna kwota nałożonych kar, przewyższa kilka milionów złotych. To wierzchołek góry lodowej, w porównaniu do skuteczności w nakładaniu kar przez naszych sąsiadów. Berlński, odpowiednik urzędu ochrony danych osobowych, który nadzoruje przestrzeganie RODO w konkretnym landzie (coś a la rejon/województwo), zakończył już set kontroli.

Czy dostanę grzywnę, z tytułu RODO?

Grzywny RODO, mają więc na celu uczynienie niezgodności kosztownym błędem zarówno dla dużych, jak i małych firm, a nawet dla jednostek samorządu terytorialnego. Dla tych ostatnich największą karą RODO jest uderzenie w wizerunek i zaufanie, gdyż np. opozycyjna rada, może podnosić nieudolność włodarza, która doprowadziła do kary dla samorządu.

Gdy już wiemy, że kary to nie mit, lecz obecne realia, które należy wziąć pod uwagę, realizując cele naszych organizacji, to porozmawiamy o tym, ile wynosi grzywna RODO i jak organy kontroli tj. urząd ochrony danych może obliczać te konkretne kary.

Ogólne rozporządzenie Unii Europejskiej w sprawie ochrony danych (RODO) zostało opracowane tak, aby dotyczyło wszystkich rodzajów przedsiębiorstw, od wielonarodowych po mikroprzedsiębiorstwa. Grzywny nałożone przez RODO na podstawie art. 83 są elastyczne i mają być dostosowane do firmy. Każda organizacja, która działa niezgodnie z RODO, niezależnie od jej wielkości, ponosi ogromną odpowiedzialność.

Poniżej przyjrzymy się grzywną administracyjnym, które zostały nałożone do tej pory, by wysunąć wniosek, w jaki sposób naliczane są grzywny oraz jakie naruszenia mogą podlegać sankcjom karnym. Mamy nadzieję, że ten poradnik, pomoże działom finansowym oraz osobom, odpowiedzialnym za obliczanie skutków, wynikających z konkretnych ryzyk, wynikających z niezgodności.

Dwie kategorie grzywien RODO

RODO wyraźnie stwierdza, że ​​niektóre naruszenia są poważniejsze niż inne.

Mniej poważne naruszenia mogą skutkować nałożeniem grzywny w wysokości do 10 mln EUR lub 2% rocznych światowych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa. Obejmują one wszelkie naruszenia artykułów regulujących:

• Administratorzy i podmioty przetwarzające ( art. 8 , 11 , 25–39 , 42 i 43 ) – Organizacje, które zbierają i kontrolują dane (administratorzy) oraz te, które są zobowiązane do przetwarzania danych (podmioty przetwarzające), muszą przestrzegać przepisów dotyczących ochrony danych, zgodnych z prawem podstaw przetwarzanie i więcej. Przykłady: nieprawidłowości w zakresie wyrażenia zgody przez opiekuna dziecka, nierejestrowanie operacji przetwarzania, niewyznaczenie inspektora ochrony danych pomimo obowiązku, niepoinformowanie Urzędu Ochrony Danych o incydencie.
• Jednostki certyfikujące ( art. 42 i 43 ) – Akredytowane jednostki odpowiedzialne za organizacje certyfikacji, winny przeprowadzać swoje oceny bez uprzedzeń i w ramach przejrzystego procesu. Z niecierpliwością oczekujemy jak to będzie wyglądać w Polsce. Obecnie specjaliści z polski mają problem, realizować usługi w innych krajach, gdyż nie spełniają wymagań certyfikacji krajowego organu. Trudnym jest wytłumaczyć, że nasze UODO jeszcze tego zadania nie realizuje.
• Organy monitorujące ( art. 41 ) – Organy wyznaczone do posiadania odpowiedniego poziomu wiedzy specjalistycznej muszą wykazać się niezależnością i przestrzegać ustalonej procedury rozpatrywania skarg lub zgłaszanych naruszeń w sposób bezstronny i przejrzysty.

Poważniejsze naruszenia są sprzeczne z zasadami stricte prawa do prywatności i prawa do bycia zapomnianym, które stanowią sedno RODO. Tego rodzaju naruszenia mogą skutkować nałożeniem kary RODO w wysokości do 20 mln EUR lub 4% rocznych światowych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa. Obejmują one wszelkie naruszenia artykułów regulujących:

• Podstawowe zasady przetwarzania ( art. 5 , 6 i 9 ) – Przetwarzanie danych musi odbywać się w sposób zgodny z prawem, uczciwy i przejrzysty. Należy go gromadzić i przetwarzać w określonym celu, być dokładnym i aktualnym oraz przetwarzać w sposób zapewniający jego bezpieczeństwo. Organizacje mogą przetwarzać dane tylko wtedy, gdy spełniają jedną z sześciu zgodnych z prawem podstaw wymienionych w art. 6. Ponadto niektóre rodzaje danych osobowych, w tym pochodzenie rasowe, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, orientacja seksualna i zdrowie lub dane biometryczne są zabronione, z wyjątkiem szczególnych okoliczności.
• Warunki wyrażenia zgody ( art. 7 ) – Jeżeli przetwarzanie danych przez organizację jest uzasadnione na podstawie zgody osoby, organizacja ta musi posiadać dokumentację, aby to udowodnić. 
• Prawa osób, których dane dotyczą ( art. 12–22 ) – osoby fizyczne mają prawo wiedzieć, jakie dane gromadzi organizacja i w jaki sposób je przetwarza. Mają także prawo do uzyskania kopii zebranych danych, do ich poprawienia, a w niektórych przypadkach prawo do usunięcia tych danych. Podmioty danych, mają również prawo do przenoszenia swoich danych do innych organizacji. 

W Polsce przez wiele miesięcy krążyła legenda o Panu, który wykonał telefon do szpitala, przedstawiając się i informując o zrobieniu kupy na schodach szpitala. W związku z powyższym, na mocy RODO, składał żądanie o przeniesienie jego danych osobowych do najbliższej pracowni analitycznej, w tym wrażliwych, gdyż ów materiał zawiera informacje o jego stanie zdrowia ?

• Przekazywanie danych organizacji międzynarodowej lub odbiorcy w państwie trzecim ( art. 44–49 ) – Przed przekazaniem jakichkolwiek danych osobowych do państwa trzeciego lub organizacji międzynarodowej Komisja Europejska musi zadecydować, że to państwo lub organizacja zapewnia odpowiedni poziom ochrony. Same transfery muszą być zabezpieczone.

Obejmują one również:

• Każde naruszenie przepisów państw członkowskich przyjętych na podstawie rozdziału IX – rozdział IX daje państwom członkowskim UE możliwość uchwalenia dodatkowych przepisów dotyczących ochrony danych, o ile są one zgodne z RODO. Każde naruszenie tych przepisów krajowych grozi również karami administracyjnymi RODO.
• Niezastosowanie się do nakazu organu nadzorczego – jeśli organizacja nie zastosuje się do nakazu organów monitorujących RODO, jest ona zobowiązana do zapłaty ogromnej grzywny, niezależnie od tego, jakie było pierwotne naruszenie. 

Omówiliśmy kary administracyjne… Artykuł 82 daje osobom, których dane dotyczą, prawo dochodzenia odszkodowania od organizacji, które wyrządziły im szkodę materialną lub niematerialną w wyniku naruszenia RODO.

Zatrzymajmy się na tym etapie na moment. To bardzo ważne! Przywołajmy pierwszą polską karę, która generalnie wynikała z przetwarzania danych firm, w tym jednoosobowych, których dane zostały pobrane z Centralnej Ewidencji Działalności Gospodarczych (CEIDG), zaś ukarana spółka nie dopełniła obowiązku informacyjnego. Z tego tytułu otrzymała około milion złotych kary.

Jednak nie w tym rzecz! Urząd Ochrony Danych Osobowych, nakazał dopełnienie skutecznego poinformowania firm o przetwarzaniu ich danych osobowych tj. listownie. Wg naszych wyliczeń, wg oferty Poczty Polskiej, koszt dla ukaranego podmiotu dopełnienia tego obowiązku to około 20 milionów złotych. Doliczmy do tego ewentualne pozwy cywilne i możemy dostrzec łatwy sposób do utonięcia firmy.

Najczarniejszy scenariusz kary RODO?

Wiadomo, że kolejna jeszcze większa kara, ale organ ochrony danych osobowych może zakazać przetwarzania danych osobowych przez określony czas np. dalszej kontroli.

Ile wynosi kara RODO?

Zgodnie z RODO grzywny są nakładane przez organ ochrony danych w każdym kraju UE. Organ ten ustali, czy doszło do naruszenia, i wyznaczy surowość kary. Urzędy Ochrony Danych, wykorzystują następujące 10 kryteriów, aby ustalić, czy grzywna zostanie naliczona i w jakiej wysokości:

• Waga i charakter – ogólny obraz naruszenia. Co się stało, jak to się stało, dlaczego tak się stało, liczbę dotkniętych nimi osób, poniesione przez nich szkody i ile czasu zajęło ich rozwiązanie.
• Zamiar – czy naruszenie było umyślne, czy wynikało z zaniedbania.
• Złagodzenie – czy organizacja podjęła jakiekolwiek działania w celu złagodzenia szkody poniesionej przez osoby, których dotyczy naruszenie.
• Środki ostrożności – ilość przygotowań technicznych i organizacyjnych, które firma wdrożyła wcześniej, aby działać zgodnie z RODO.
• Historia – Wszelkie istotne wcześniejsze naruszenia, w tym naruszenia na mocy dyrektywy o ochronie danych (nie tylko RODO), a także zgodność z wcześniejszymi administracyjnymi działaniami naprawczymi na mocy RODO.
• Współpraca – czy organizacja współpracowała z organem nadzorczym w celu wykrycia i usunięcia naruszenia.
• Kategoria danych – jakiego typu danych osobowych, dotyczyło naruszenie.
• Powiadomienie – czy organizacja czy osoba trzecia, proaktywnie zgłosiła naruszenie organowi nadzorczemu.
• Certyfikacja – czy organizacja przestrzegała zatwierdzonych kodeksów postępowania, czy była wcześniej certyfikowana.
• Czynniki obciążające / łagodzące – Wszelkie inne kwestie wynikające z okoliczności sprawy, w tym korzyści finansowe uzyskane lub straty uniknięte w wyniku naruszenia.

Jeśli organy regulacyjne stwierdzą, że organizacja ma wiele naruszeń RODO, zostanie ona ukarana tylko za najpoważniejsze, pod warunkiem, że wszystkie naruszenia są częścią tej samej operacji przetwarzania. Najczęściej pojedyncze naruszenie, związane z konkretną kategorią, eskaluje i bezpośrednio powoduje inne.

Odpowiedzialność administratora danych

Wiele organizacji korzysta z usług stron trzecich, takich jak poczta, do przetwarzania swoich danych. Chociaż może to być pomocne w przestrzeganiu RODO, jeśli strona trzecia ma wyższą zdolność technologiczną, nie zwalnia organizacji zatrudniającej (tj. Administratora) z zapewnienia, że ​​dane osobowe są przetwarzane zgodnie z RODO. O ile administrator nie może jasno wykazać, że „nie był w żaden sposób odpowiedzialny za zdarzenie powodujące szkodę”, będzie w pełni odpowiedzialny za wszelkie naruszenia spowodowane przez podwykonawcę, który działa niezgodnie z prawem.

Z tego powodu ważne jest uważne sprawdzanie usług zewnętrznych, z których korzystamy, aby upewnić się, że są odpowiednie w zakresie bezpieczeństwa. Kolejna kara RODO – tym razem przez brak anonimizacji danych.

Co zrobić?

Czynnie i aktywnie zaangażować się w zapewnienie bezpieczeństwa informacji, pamiętając o prowadzeniu odpowiedniej dokumentacji tj. zebraniu poświadczeń, że konkretne czynności zostały wykonane. Może nam w tym pomóc zarówno ekspert RODO, prawnik, nasz własny dział IT, jak również kompleksowe narzędzie jak Kryptos72. Sprawdź już teraz wersję TRIAL – programu do RODO.