Kary finansowe za naruszenie RODO – podsumowanie roku 2020

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 31 stycznia 2021

31

Sty
2021

Na początku tego roku (podobnie jak w poprzednim) podjęliśmy trud przygotowania zestawienia wszystkich wydanych przez Prezesa UODO w 2020 roku decyzji administracyjnych nakładających kary finansowe za naruszenia przepisów o ochronie danych osobowych.

W 2020 roku Urząd Ochrony Danych Osobowych wydał w sumie 10 decyzji nakładających administracyjne kary pieniężne. Suma tych kar wyniosła prawie 3,5 mln zł. Dla porównania w roku 2019 organ nadzorczy wydał 8 decyzji (3 nie zostały opublikowane) nakładających administracyjne kary pieniężne w wysokości ponad 4 mln zł. Więcej informacji o karach wydanych przez organ nadzorczy w 2019 roku można znaleźć w naszym artykule.

Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2020 roku

Z 10 decyzji o nałożeniu administracyjnej kary pieniężnej:

  • 4 dotyczyły podmiotów publicznych;

  • 6 dotyczyło prywatnych przedsiębiorstw (w tym jedna dotyczyła osoby prowadzącej jednoosobową działalność);

  • aż 4 dotyczyły naruszeń związanych z nieumożliwieniem przeprowadzenia postępowania kontrolnego lub nieudostępnieniu informacji, o które wnioskował organ nadzorczy;

  • 4 wydane zostały w związku z naruszeniami ochrony danych osobowych;

  • w dwóch decyzjach główną podstawą nałożenia kary było naruszenie związane z legalnością przetwarzania danych (przetwarzanie danych biometrycznych przez szkołę oraz udostępnianie danych osobowych dotyczących ksiąg wieczystych w Geoportalu2);

Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.

1)  Szkoła Podstawowa nr 2 w Gdańsku

Wysokość kary: 20 000 PLN

Decyzja Prezesa UODO z dnia 18 lutego 2020 r. ZSZZS.440.768.2018

Prezes UODO, decyzją z dnia 18 lutego 2020 roku, nałożył administracyjną karę pieniężną w wysokości 20 000 zł na szkołę podstawową za przetwarzanie danych biometrycznych uczniów w celu potwierdzania uiszczenia opłaty za posiłek. Zdaniem organu szkoła naruszyła przepisy RODO, gdyż nie posiadała podstawy prawnej do przetwarzania danych szczególnej kategorii (art. 9 RODO) oraz ponieważ realizowane przetwarzanie naruszało zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Szkoła zbierała dane biometryczne wyłącznie od uczniów, których rodzice wyrazili stosowną zgodę na ich przetwarzanie. Jednakże organ w uzasadnieniu wskazał, iż „W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na te przetwarzanie”.

Stanowisko organu rodzi kontrowersje z co najmniej dwóch powodów:

  • Podważa ono słuszność przetwarzania danych w oparciu o wyrażoną zgodę, jeżeli istnieją inne przesłanki uprawniające do ich przetwarzania. Natomiast w decyzji wskazano iż dzieci, których rodzice nie wyrazili zgody na przetwarzanie danych biometrycznych musiały przepuszczać wszystkie inne dzieci korzystające z identyfikacji biometrycznej (same obsługiwane były na końcu), co mogło wpływać na dobrowolność wyrażanej zgody i raczej ten fakt powinien być podstawą do unieważnienia wyrażonych zgód. Naszym zdaniem świadoma zgoda na przetwarzanie danych szczególnej kategorii, ze wskazaniem potencjalnych skutków przetwarzania i z zadbaniem o to, aby osoby nie wyrażające zgody nie zostały dotknięte negatywnymi konsekwencjami (bez dyskryminacji), w tym przypadku powinna dawać możliwość przetwarzania danych biometrycznych. Oczywiście przetwarzanie danych biometrycznych uczniów nie było niezbędne dla osiągniecia głównego celu, określonego w przepisach prawa, ale mogło znacznie usprawniać proces obsługi klientów stołówki. Zatem zbierane dane nie były zbędne, ale faktycznie służyły one osiągnięciu zamierzonego celu, zdefiniowanego nieco szerzej niż widział to organ nadzorczy.

  • W porównaniu do naruszeń (a dotyczyły one tylko dwóch i to dość kontrowersyjnych) wysokość kary wydaje się zbyt surowa, gdyż osiągnęła ona poziom 1/5 maksymalnej wysokości kary, jaką organ może nałożyć na podmiot publiczny. Nieznane są motywy jakimi kierowała się szkoła organizując system rozpoznawania linii papilarnych przy wejściu na stołówkę, ale zapewne miała ona na celu dobro uczniów. Proces ten mógł znacznie przyspieszać weryfikację uprawnień do skorzystania z niej, przekładając się na zwiększenie czasu jakim dziecko dysponowało na zjedzenie posiłku. Ponadto zastosowanie biometrii mogło wykluczać sytuacje, w których weryfikacja wniesionej opłaty za posiłki nie byłaby możliwa, np. z powodu zagubienia (przez dziecko) papierowego kuponu lub karty magnetycznej uprawniającej do zjedzenia posiłku. Niestety kara (jeśli zostanie zapłacona) dotknie zapewne przede wszystkim dzieci, ponieważ naruszy budżet szkoły, z którego środki mogły zostać spożytkowane np. na zakup książek do biblioteki…

2) Vis Consulting Sp. z o.o. w likwidacji

Wysokość kary: 20 000 PLN

Decyzja Prezesa UODO z dnia 9 marca 2020 r. ZSPR.421.19.2019

W dniu 9 marca 2020 r. Prezes UODO wydał decyzję, na mocy której nałożył na Vis Consulting Sp. z o.o. (dalej „VIS”) karę w wysokości 20 tys. zł za uniemożliwienie przeprowadzenia kontroli. UODO usiłował przeprowadzić czynności kontrolne w związku z kontrolą przeprowadzaną w innej organizacji, która powierzyła VIS świadczenie usług telemarketingowych. Z tego też powodu, organ nadzorczy postanowił zweryfikować poprawność realizowanych przez podmiot przetwarzający działań marketingowych. Jednakże ostatecznie do kontroli nie doszło – kontrolerzy nie zastali nikogo z przedstawicieli ukaranej spółki pod adresem wskazanym w KRS (powierzchnia biurowa była wynajmowana przez inną firmę na rzecz Vis Consulting Sp. z o.o.), a po nawiązaniu kontaktu telefonicznego z przedstawicielem spółki, urzędnik UODO otrzymał informację, iż „kontrola się nie odbędzie”. Spółka próbowała za wszelką cenę uniknąć odpowiedzialności i w dniu, gdy Urząd ponownie próbował się z nią skontaktować, władze spółki podjęły uchwałę o jej likwidacji.

Oprócz kary finansowej, która najprawdopodobniej będzie musiała zostać zapłacona (spółce przysługuje jeszcze prawo do wniesienia skargi do WSA), m.in. prezesowi spółki – za udaremnienie przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych – grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch.

3) East Power Sp. z o.o.

Wysokość kary: 20 000 PLN

Decyzja Prezesa UODO z dnia 10 lipca 2020 r. DKE.561.1.2020

Decyzja dotyczy przetwarzania danych przez firmę East Power z Jeleniej Góry, trudniącą się pośrednictwem pracy na terenie Polski oraz Niemiec. Obywatel Niemiec skierował skargę do jednego z niemieckich organów nadzorczych, zarzucając spółce przetwarzanie danych w celach marketingowych bez jego zgody. Sprawa została następnie przekazana do polskiego organu nadzorczego, ponieważ siedziba spółki znajduje się w Polsce. UODO, jako organ wiodący, wezwał spółkę do złożenia wyjaśnień w przedmiotowej sprawie.

East Power, pomimo otrzymywanych monitów, nie przekazała wymaganych przez organ informacji. Z tego powodu UODO wszczął postępowanie administracyjne w tej sprawie, które zakończył nakładając karę 15 tysięcy złotych za nieudzielenie organowi nadzorczemu dostępu do danych osobowych oraz innych istotnych dla sprawy informacji. Sprawa nie ma jeszcze swego zakończenia – Urząd Ochrony Danych Osobowych nadal będzie badał zasadność przetwarzania danych osobowych w celach marketingowych przez ukaraną spółkę.

4) Przedsiębiorca prowadzący jednoosobową działalność

Wysokość kary: 5 000 PLN

Decyzja Prezesa UODO z dnia 16 lipca 2020 r. DKE.561.2.2020

 5 tysięcy złotych kary będzie musiał zapłacić natomiast inny administrator danych, który odmówił Prezesowi UODO przekazania informacji na temat wypełnienia obowiązku zawiadomienia o naruszeniu osób, których ono dotyczyło.

Ukaranym podmiotem jest przedsiębiorca, prowadzący niepubliczny żłobek i przedszkole. W czerwcu 2019 r. zgłosił on do UODO incydent bezpieczeństwa, dotyczący około 200 osób. Incydent polegał na utracie dostępu do przetwarzanych przez Przedsiębiorcę danych osobowych. Naruszenie wystąpiło na skutek bezprawnego (zdaniem przedsiębiorcy) wtargnięcia do lokalu osób trzecich, które wymieniły zamki w drzwiach. W związku z powyższym przedsiębiorca utracił możliwość dostępu do placówki, w której znajdowały się komputery i dokumentacja zawierająca dane osobowe pracowników, dzieci uczęszczających do przedszkola i żłobka oraz ich opiekunów prawnych.

Przedsiębiorca, zgodnie z art. 33 RODO, zgłosił naruszenie organowi nadzorczemu i zawiadomił telefonicznie oraz osobiście osoby, których to dotyczyło. Organ nadzorczy po powzięciu informacji o zaistniałej sytuacji zdecydował zweryfikować poprawność realizacji obowiązku polegającego na zawiadamianiu osób fizycznych, których dane dotyczą. W tym celu wysłał pismo do przedsiębiorcy, wnioskując w nim o przekazanie dodatkowych informacji potwierdzających należyte wywiązanie się z obowiązku określonego w art. 34 RODO.  Jednakże mimo monitów ze strony UODO, przedsiębiorca nie przekazał wymaganych informacji, co skutkowało wydaniem decyzji w sprawie nałożenia administracyjnej kary pieniężnej.

5) Ukarany podmiot: Główny Geodeta Kraju (GGK)

Wysokość kary: 100 000 PLN

Decyzja Prezesa UODO z dnia 17 lipca 2020 r. DKE.561.3.2020

Również i w tym przypadku, pierwszą karę na GGK Prezes UODO nałożył za utrudnianie kontroli. UODO podjął decyzję o jej przeprowadzeniu w związku z ujawnianiem numerów ksiąg wieczystych w Geoportalu, o czym GGK powiadomił stosownym pismem. Jednakże GGK nie dopuścił kontrolujących urzędników do przeprowadzenia czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Zdaniem GGK dane dotyczące numerów ksiąg wieczystych nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego, dlatego odmówił zgody na przeprowadzenie czynności kontrolnych. W konsekwencji Prezes UODO złożył do prokuratury zawiadomienie o uzasadnionym podejrzeniu popełnienia przestępstwa określonego w art. 108 ust. 1 ustawy o ochronie danych osobowych, a także nałożył karę pieniężną w maksymalnej możliwej kwocie 100 tys. złotych (w przypadku podmiotów publicznych, maksymalny wymiar kary jest ograniczony do tej kwoty).

6) Ukarany podmiot: Główny Geodeta Kraju (GGK)

Wysokość kary: 100 000 PLN

Decyzja Prezesa UODO z dnia 24 sierpnia 2020 r. DKN.5112.13.2020

Kolejna decyzja Prezesa UODO stanowi efekt końcowy kontroli, która częściowo została przez organ przeprowadzona. Za nieuprawnione udostępnienie na portalu GEOPORTAL2 danych osobowych, pozyskanych z ewidencji gruntów i budynków, organ nadzorczy nałożył na GGK administracyjną karę pieniężną w wysokości 100 tys. zł.

Zakres ujawnianych danych w powiązaniu z numerami ksiąg wieczystych obejmował m. in.: imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości. Zdaniem organu nadzorczego publiczna dostępność danych w przytoczonym zakresie dawała możliwość identyfikacji osób, których dane zawarte są w księgach wieczystych nieruchomości.

Z uwagi na to, iż do publikowanych na Geoportalu2 danych mógł mieć dostęp każdy użytkownik Internetu (w tym osoby działające w złej wierze), sytuacja ta stwarzała ryzyko naruszenia praw i wolności bardzo dużej liczby właścicieli prywatnych nieruchomości. Z tego też powodu UODO nałożył karę w maksymalnej możliwej dla podmiotu publicznego wysokości.

Główne naruszenia GGK dotyczyły braku podstawy prawnej do udostępniania na portalu GEOPORTAL2 danych osobowych w postaci numerów ksiąg wieczystych pozyskiwanych z ewidencji gruntów i budynków oraz błędów przy prowadzeniu rejestru czynności przetwarzania – dotyczyły one niewyszczególniania określonych czynności przetwarzania np. rejestracji użytkowników Geoportalu.

7) Ukarany podmiot: Szkoła Główna Gospodarstwa Wiejskiego w Warszawie

Wysokość kar: 50 000 PLN

Decyzja Prezesa UODO z dnia 21 sierpnia 2020 r. ZSOŚS.421.25.2019

Kolejna wydana przez Prezesa UODO decyzja nakładająca administracyjną karę pieniężną również dotyczyła podmiotu publicznego. Sprawa miała swój początek w listopadzie 2019 roku, kiedy Prezes UODO otrzymał zgłoszenie naruszenia ochrony danych osobowych przetwarzanych przez Szkołę Główną Gospodarstwa Wiejskiego (SGGW).

Incydent powstał na skutek:

  • nieprawidłowego postępowania pracownika, który przechowywał dane osobowe kandydatów na studia z ostatnich 5 lat w pamięci własnego (prywatnego) komputera;

  • kradzieży wyżej wspomnianego urządzenia. Jak ustalono, prywatny komputer pracownika był urządzeniem wykorzystywanym zarówno do celów służbowych, jak i prywatnych, o czym nie wiedziały władze uczelni.

SGGW została ukarana 40 tys. zł kary (co stanowi prawie połowę maksymalnej wysokości kwoty, jaką podmiot publiczny może zostać ukarany za naruszenie przepisów RODO).

Na wysokość kary miały wpływ m. in. następujące czynniki:

  • skala naruszenia – dotyczyło ono kandydatów na studia w SGGW w okresie ostatnich 5 lat, obejmowało szeroki zakres danych, a liczba dotkniętych naruszeniem może wynosić do 100 tys. osób;

  • brak wiedzy o wykorzystywaniu do przetwarzania danych osobowych prywatnego urządzenia (co wskazuje na brak kontroli uczelni nad przetwarzaniem danych osobowych);

  • naruszenie zasady ograniczonego przechowywania – dane pochodziły z okresu 5 lat, co stanowiło naruszenie polityki retencji danych SGGW, w której okres przetwarzania określono na 3 miesiące od terminu zakończenia rekrutacji;

  • wdrożenie niewystarczających środków ochrony danych osobowych;

  • nie włączanie Inspektora Ochrony Danych we wszystkie sprawy związane z ochroną danych osobowych. Do naruszenia mogłoby nie dojść, gdyby IOD został na czas zaangażowany w organizowanie procesu rekrutacji na studia. Jak stwierdził UODO: „Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych”. W przedmiotowym przypadku dane przetwarzane były w pamięci urządzenia mobilnego, które obarczone jest (z powodu jego rozmiarów i przenoszenia) ryzykiem kradzieży lub zagubienia. Przy prawidłowym podejściu Inspektor Ochrony Danych mógłby wskazać te zagrożenia i zalecić przechowywanie danych osobowych wyłącznie w środowisku sieciowym.

8) Ukarany podmiot: Virgin Mobile Polska Sp. z o.o.

Wysokość kary: 1 968 524 PLN

Decyzja Prezesa UODO z dnia 3 grudnia 2020 r. DKN.5112.1.2020

Organ nadzorczy ukarał Virgin Mobile Sp. z o.o. (dalej VM) za niewłaściwą ochronę przetwarzanych danych osobowych. Co więcej VM wytknięto nieprawidłowości również w obszarze testowania istniejących środków bezpieczeństwa.

Urząd Ochrony Danych Osobowych wszczął postępowanie kontrolne wskutek otrzymania od VM zgłoszenia o wystąpieniu naruszenia ochrony danych osobowych w grudniu 2019 r.

Osoby trzecie uzyskały dostęp do danych około 115 tys. klientów – abonentów usług przedpłaconych. Zakres ujawnionych danych obejmował imię i nazwisko, numer PESEL, serię i numer dowodu osobistego, numer telefonu, NIP oraz firmę, co – w ocenie organu – stanowiło źródło wysokiego ryzyka naruszenia praw i wolności osób fizycznych.

Atakujący wykorzystali podatność polegającą na braku weryfikacji tożsamości podmiotów wnioskujących o potwierdzenie rejestracji usług przedpłaconych, co skutkowało ujawnieniem ok. 142 tys. rekordów tego typu potwierdzeń.

Więcej informacji o samym naruszeniu oraz o wnioskach płynących z decyzji UODO znaleźć można w naszym Komunikacie IOD-y.

9) Ukarany podmiot: Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.

Wysokość kary: 85 588 PLN

Decyzja Prezesa UODO z dnia 9 grudnia 2020 r. DKN.5131.5.2020

Decyzja w sprawie Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A. (WARTA) stanowi przykład ukarania podmiotu za niewłaściwą realizację obowiązków wynikających z art. 33 RODO (notyfikacja naruszeń do organu nadzorczego) oraz za brak powiadomienia osób, których dane zostały ujawnione (art. 34 RODO).

Do naruszenia doszło w wyniku wysłania przez agenta ubezpieczeniowego (podmiot przetwarzający) do niewłaściwego adresata wiadomości elektronicznej zawierającej w załączniku polisę ubezpieczeniową. Co ciekawe, to klient podał nieprawidłowy adres e-mail. W ten sposób ujawniono osobie nieuprawnionej dane osobowe w zakresie m.in.: imion, nazwiska, adresu zamieszkania, numeru PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy).

WARTA przeprowadziła ocenę powyższej sytuacji pod kątem ryzyka naruszenia praw i wolności osób, której dane dotyczą i stwierdziła, iż zdarzenie nie wymaga zgłoszenia do organu, ani dokonania zawiadomień osób, których dane zostały ujawnione. Argumentując swoje – zdaniem UODO błędne – stanowisko, administrator przyjął następujące okoliczności:

  • naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na adres poczty elektronicznej, który wskazał sam klient;

  • nieuprawniony odbiorca zwrócił się do WARTY, a ta poprosiła go o trwałe usunięcie wiadomości wraz z informację zwrotną potwierdzającą jej usunięcie.

Więcej o tej decyzji i o wnioskach z niej płynących pisaliśmy w Komunikacie IOD-y.

10) Ukarany podmiot: ID Finance Poland Sp. z o.o.

Wysokość kary: 1 069 850 PLN

Decyzja Prezesa UODO z dnia 17 grudnia 2020 r. DKN.5130.1354.2020

Właściciel portalu pożyczkowego MoneyMan.pl, ID Finance Poland Sp. z o.o. (dalej Spółka) nie sprawdziła odpowiednio szybko informacji sygnalizującej incydent bezpieczeństwa. Niezależny badacz bezpieczeństwa ostrzegł spółkę, iż ujawnione zostały dane osobowe jej klientów na jednym z serwerów administrowanych przez dostawcę hostingu (podmiot przetwarzający). Jednakże spółka zwlekała z weryfikacją zgłoszonego incydentu i niestety dane osobowe były „wystawione na świat” wystarczająco długo, by umożliwić osobie trzeciej ich skopiowanie i usunięcie, która następnie za ich zwrot zażądała okupu. Dopiero wówczas Spółka przyjrzała się zabezpieczeniom serwerów i dokonała zgłoszenia naruszenia do Prezesa UODO.

Naruszenie ochrony danych osobowych dotyczyło użytkowników portalu MoneyMan.pl, którzy rozpoczęli proces rejestracji i zdążyli wprowadzić następujące dane: imię i nazwisko, poziom wykształcenia, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu (stacjonarnego, komórkowego, wcześniej używanego numeru telefonu), numer PESEL, narodowość, NIP, hasło, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego.

Co istotne, jak wskazała Spółka w zgłoszeniu uzupełniających, okazało się, iż hasła użytkowników MoneyMan były przechowywane otwartym tekstem.

Zwłoka w weryfikacji zgłoszenia o dostępnych publicznie danych klientów, nastąpiła na skutek podejrzeń (Dyrektora Finansowego Spółki), iż podmiot zgłaszający incydent (niezależny badacz bezpieczeństwa) może próbować wyłudzić poufne informacje. Natomiast w ocenie organu, wspomniane podejrzenia nie powinny mieć wpływu na rozpoczęcie weryfikacji wystąpienia naruszenia.

W związku, z tym faktem Prezes UODO ocenił iż Spółka:

  • dokonując oceny pierwszego sygnału o nieprawidłowościach, nie uwzględniła ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego udostępnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 RODO,

  • złamała zasadę poufności określoną w art. 5 ust. 1 lit. f RODO poprzez niedopełnienie obowiązku zapewnienia przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo od momentu, w którym uzyskała pierwszy sygnał o nieprawidłowościach,

  • nie wdrożyła odpowiednich środków ochrony mających na celu skuteczną realizację wspomnianej zasady poufności, co stanowi naruszenie art. 25 ust. 1 RODO, oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 RODO,

  • nie dokonywała regularnej oceny skuteczności środków ochrony, co stanowi naruszenie art. 32 ust. 1 lit. d RODO,

  • tym samym swoim działaniem przyczyniła się do niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b RODO.

Na pochwałę zasługuje natomiast to, jak Spółka działała po stwierdzeniu naruszenia. W szczególność jak zorganizowała realizację obowiązku z art. 34 RODO (zawiadomienie osób, których naruszenie dotyczy):

  • oddelegowała dodatkowych pracowników do działu Call Center,

  • przygotowała dla nich odpowiedzi na podstawowe pytania zadawane przez klientów w związku z naruszeniem ochrony ich danych osobowych,

  • poinformowała ich w jaki sposób należy prowadzić komunikację z osobami, których dane dotyczą,

  • wstrzymała na okres trzech dni komunikację w celach windykacyjnych, celem ułatwienia kontaktu klientom,

  • w nawet w jednym dniu wstrzymała sprzedaż nowych pożyczek, aby zapewnić skuteczną obsługę klientów, których dotyczy naruszenie.

W konsekwencji Prezes UODO umorzył postępowanie administracyjne w zakresie naruszenia art. 34 ust. 1 RODO, co tym samym nie miało wpływu na wymiar administracyjnej kary pieniężnej.

Co więcej, ponieważ Spółka przedłożyła obszerne wyjaśnienia oraz liczne dokumenty regulujące współpracę z podmiotem przetwarzającym, organ nie doszukał się nieprawidłowości w tym obszarze. W konsekwencji organ nadzorczy umorzył postępowanie administracyjne w zakresie naruszenia art. 28 ust. 1 i art. 28 ust. 3 lit. h RODO, dzięki czemu uniknięto zwiększenia kary pieniężnej.

Podsumowanie

W 2020 roku byliśmy świadkami kolejnych 10 decyzji Prezesa UODO nakładających kary pieniężne na podmioty przetwarzające dane osobowe. Dotychczasowe działania organu tylko potwierdzają, iż nie tylko duże i średnie organizacje powinny się obawiać konsekwencji za nieprzestrzeganie przepisów RODO. Kara pieniężna za naruszenia RODO może zostać nałożona nawet na podmiot prowadzący jednoosobową działalność gospodarczą, albo może dotyczyć publicznej szkoły, w której przetwarzane są dane osobowe uczniów.

Ponadto swoim działaniem organ nadzorczy jednoznacznie dał znać, iż wszelkie próby  umyślnego utrudniania przeprowadzania postępowań kontrolnych będą mogły zostać surowo ukarane (maksymalny wymiar kary, jaką może otrzymać podmiot publiczny, nałożonej za to naruszenie na GGK).

Podkreślenia wymaga również to jak dużo uwagi organ przywiązuje do realizacji zasady rozliczalności. Zgodnie z nią administratorzy muszą być w stanie wykazać przestrzeganie zasad dotyczących przetwarzania danych osobowych określonych w art. 5 RODO (przypadek Virgin Mobile Polska Sp. z o. o.).

Ochrona danych osobowych – kolejne kontrole:

Z powodu stanu epidemii COVID-19 (jak podają nieoficjalne źródła) UODO nie opracował planów kontroli sektorowych na rok 2021. Plany mają być sporządzone wtedy, gdy sytuacja epidemiczna pozwoli na bezpieczne przeprowadzenie kontroli. Temat będzie przez nas monitorowany i jak tylko organ opublikuje nowy plan kontroli to zaktualizujemy artykuł.

komentarze 4

  • Krzysztof 2 lutego, 2021

    No niestety RODO wniosło szereg i dobrych i złych zmian dla pracodawców. Przede wszystkim trzeba jeszcze lepiej uważać na przechowywane i udostępniane dane osobowe swoich klientów.

    Odpowiedz
    • Marcin Soczko 5 lutego, 2021

      To prawda, że RODO dołożyło trochę obowiązków. Zachęcamy jednak, aby traktować je jako pewien mechanizm, który chroni pracodawców (ogólnie administratorów) przed naruszaniem dóbr osobistych pracowników lub klientów – pozwy cywilne w tym zakresie zdarzały się dużo wcześniej, niż powstało prawo ochrony danych osobowych (nawet pod koniec XIX w.). I są, i będą nadal wnoszone, ale raczej wobec tych podmiotów, które RODO nie stosują lub robią to nieudolnie.

      Pozdrawiamy

      Odpowiedz
  • Beata 4 lutego, 2021

    Marcin i Partnerzy 🙂
    gratuluję pomysłu tematu:) Pozdrawiam, Beata Karczewska

    Odpowiedz
    • Marcin Soczko 5 lutego, 2021

      Beatko, dziękujemy 🙂
      A otrzymujesz newsletter?

      Pozdrawiamy serdecznie

      Odpowiedz

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


13 − 1 =