W pierwszej połowie 2018 roku o RODO mówiono głównie w kontekście wysokich, sięgających nawet kilkudziesięciu milionów euro kar administracyjnych. Po ponad pięciu miesiącach od czasu wejścia w życie nowych przepisów, nałożono jednak jedynie dwie wysokie kary. Jak będzie to wyglądało dalej?
Kara za ujawnienie danych wrażliwych
Pierwszą karę otrzymał w lipcu 2018 r. francuski sklep internetowy Optical Center zajmujący się sprzedażą m.in. okularów przeciwsłonecznych. Francuski organ ochrony danych osobowych, Commission Nationale de l’Informatique et des Libertés, nałożył karę administracyjną na przedsiębiorcę za niedochowanie bezpieczeństwa danych osobowych klientów sklepu. Naruszenie przepisów RODO polegało w tym przypadku na umożliwieniu zapoznania się osób niepowołanych z danymi klientów. Chodziło tu nie tylko o dane personalne, ale także dane finansowe, dotyczące zamieszkania, stanu zdrowia, numeru ubezpieczenia społecznego czy krajowego numeru identyfikacyjnego. Nie była to pierwsza kara nałożona na Optical Center przez francuski urząd ochrony danych. Tym razem jednak sankcja była dotkliwa – wynosiła 250 tysięcy euro. Jak wskazywał urząd, tak wysoka kara ma mieć charakter prewencyjny, a jej celem jest uświadomienie przedsiębiorcom, jakie są ich obowiązki dotyczące zabezpieczenia danych po wejściu w życie przepisów RODO.
Kara za masowy wyciek danych
Karę nałożył także brytyjski organ ochrony danych osobowych – Information Commissioner’s Office (ICO). Wynosiła ona 500 tysięcy funtów i nałożona z ostała na amerykańską firmę Equifax, specjalizującą się w analizie kredytowej i doradztwie finansowym. W 2017 r. doprowadziła ona do wycieku danych blisko 150 milionów swoich klientów, w tym kilkunastu milionów obywateli Wielkiej Brytanii.
Organ ochrony danych stwierdził, że systemy informatyczne przedsiębiorstwa nie były należycie chronione, a brytyjski oddział firmy nie zapewnił, że serwery amerykańskiej spółki-matki, przetwarzające dane osobowe Brytyjczyków, były odpowiednio zabezpieczone. Kara została nałożona na podstawie przepisów obowiązujących jeszcze przed wejściem w życie RODO. Niemniej jednak zauważono, że uchwalenie bardziej rygorystycznych zasad w ustawodawstwie unijnym przemawiało za nałożeniem kary w maksymalnej dopuszczalnej wówczas wysokości. Wskazano także, że wszystkie firmy działające globalnie muszą być w stanie wykazać, jakie dane osobowe przetwarzają i podejmować rzetelne i adekwatne działania, by je zabezpieczyć. Funkcjonowanie systemu ochrony danych powinno być bieżąco kontrolowane i nadzorowane przez odpowiednio wykwalifikowane jednostki wewnętrzne lub podmioty zewnętrzne.
Czy będą dalsze kary?
Według zapewnień zarówno polskiego organu ochrony danych, jak i jego europejskich odpowiedników, w pierwszym okresie obowiązywania RODO, urzędy będą nakładały wysokie kary finansowe jedynie w przypadku najpoważniejszych naruszeń, jak wyciek danych, czy brak jakiegokolwiek systemu zabezpieczenia informacji. Z biegiem czasu podejście to będzie jednak ewaluowało, a kary będą coraz powszechniejsze i wyższe. Wiązać się to będzie ze zwiększeniem świadomości przedsiębiorców i powstaniem precyzyjnych wytycznych dotyczących rozumienia przepisów rozporządzenia i ustaw krajowych. Firmy powinny więc podjąć możliwie szybkie działania, by dostosować się do nowej rzeczywistości prawnej i minimalizować ryzyka związane z karami administracyjnymi i odpowiedzialnością odszkodowawczą, umowną, czy nawet karną.
