RODO: czy nadszedł czas wysokich kar dla firm?
– „Pierwszy kurz RODO” opadł. Organizacje muszą być świadome, że przepisy RODO nie będą martwymi przepisami. A niestety wydaje się, że część organizacji lekceważy nowe regulacje i w dalszym ciągu lekkomyślnie podchodzi do ochrony danych osobowych. Szacuje się, że nawet 50% polskich przedsiębiorców nie poradziło sobie z pełnym wdrożeniem RODO. Należy przypuszczać, że ta liczba jest i tak przeszacowana, a jednak jak dotąd polski organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych nikogo nie ukarał. – wskazuje adw. Marcin Zadrożny, ekspert ds. ochrony danych, ODO 24.
Pierwsze finansowe kary w Europie są już nakładane. Organ nadzorczy w Portugalii, tj. Comissão Nacional de Proteção de Dados (CNPD) (Komisja Ochrony Danych) nałożył na szpital Barreiro Montijo karę w wysokości 400.000,00 Euro, czyli ok 1,7 mln zł. W ocenie organu szpital nie zastosował odpowiednich technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, czyli personelu szpitala. W ocenie organu nieuprawniony personel miał dostęp do danych medycznych, jak również szpital nie miał odpowiednich procedur, które pozwalały na weryfikację, czy konta już nie pracujących w szpitalu osób zostały usunięte. Szpital podnosił, że oprogramowanie, z którego korzysta szpital, a dostarczone przez podmiot trzeci ma ograniczenia funkcjonalne. Jednakże taka argumentacja nie przekonała portugalskiego organu nadzorczego. To rolą administratora danych jest dostosowanie zabezpieczeń.
Globalni gracze niedługo również mogą doświadczyć negatywnych konsekwencji RODO. Za naruszenie bezpieczeństwa i wyciek danych z niemal 50 mln kont użytkowników Facebooka, portalowi grozi kara finansowa w wysokości nawet 1,63 mld dol. W październiku również brytyjskie Biuro Rzecznika ds. Informacji (ICO) nałożyło karę na spółkę Heathrow Airport Limited w wysokości 120.000,00 funtów. Finansowa kara jest niska, ponieważ postępowanie toczyło się zgodnie z przepisami o ochronie danych z 1998 r. a nie na podstawie RODO, z uwagi na czas wystąpienia zdarzenia – 16 października 2017 roku, przypadkowa osoba znalazła pamięć USB, która została zgubiona przez pracownika Heathrow Airport Limited. Jednakże ICO podkreślił, że „ochrona danych jest kwestią zarządu i konieczne jest aby spółka posiadała polityki, procedury oraz szkolenia, w celu minimalizacji podatności informacji osobistych, które zostały im powierzone.” Jak ustalił organ nadzorczy Heathrow Airport Limited przeszkoliło jedynie 2% z 6.500 pracowników.
Przepisy RODO są egzekwowane w Europie, a organizacje zgłaszają krajowym organom nadzorczym incydenty, czyli naruszenia ochrony danych, które mogą naruszać prawa i wolności osób, których dane dotyczą. Tytułem przykładu francuski urząd ochrony danych, tj. CNIL wskazuje, że od 25 maja do 1 października zgłoszono 742 przypadków naruszenia danych, które dotyczyły 33.727.384 osób we Francji i innych krajach. Spośród zgłoszonych naruszeń 421 było wynikiem programów wyłudzających informacje i ataków na oprogramowanie. CNIL podkreśla, że będzie stanowczo karać każde przedsiębiorstwo, które naruszyło wymogi dotyczące zgłaszania naruszeń w zakresie danych dotyczących RODO. Dla porównania do polskiego organu nadzorczego wpłynęło około 1.800 zgłoszeń od administratorów danych.
Firmy narzekają na RODO
RODO jest często stosowanym narzędziem – Europejska Rada Ochrony Danych wskazuje, że w całej Europie złożono ponad 42.230 skarg do krajowych organów nadzorczych (w Polsce prawie 2.500 skarg do Prezesa Urzędu Ochrony Danych Osobowych). Warto przypomnieć, że RODO pozwala także składać pozwy do sądów, jeżeli osoba które dane dotyczą poniosła szkodę materialną lub niematerialną.
]Polscy przedsiębiorcy „narzekają” najczęściej na to, że RODO ogranicza możliwość działań marketingowych oraz sprzedażowych. Należy zaznaczyć, że zazwyczaj są to konsekwencje źle wdrożonego RODO, dlatego też zaleca się przeprowadzanie audytów po zakończonym procesie wdrożenia – dodaje adw. Marcin Zadrożny. Oczywiście RODO niejednokrotnie poprzez uwzględnienie ochrony danych w fazie projektowania wydłuża proces wejścia produktów i usług na rynek ale ochrona danych osobowych to ochrona naszej prywatności.
Można przypuszczać, że dopiero pierwsza finansowa kara nałożona na polski podmiot przez Prezesa Urzędu Ochrony Danych Osobowych da drugi impuls do dostosowania się do nowych ale już obowiązujących wymagań prawnych. Nadto utrzymanie prawidłowo funkcjonującego systemu ochrony danych jest procesem ciągłym, który musi być przez kogoś nadzorowany. Organizacje muszą zarządzać incydentami związanymi z naruszeniem ochrony danych osobowych, realizować prawa osób, których dane dotyczą czy prowadzić rejestr czynności przetwarzania oraz ocenę skutków tych działań, etc.
Część organizacji jest zobligowana do wyznaczenia inspektora ochrony danych (IOD) inne mogą to zrobić fakultatywnie lub w ogóle wyznaczyć nieformalnie osobę, która odpowiedzialna będzie za ten obszar organizacji np. członka zarządu, pełnomocnika ds. ISO 27001, czy dyrektora działu IT lub posiłkować się wyspecjalizowanym podmiotem zewnętrznym. Organizacje powinny jednak wyznaczać IOD czy to z własnego personelu (funkcja IOD nie może powodować konfliktu interesu z innymi obowiązkami pracownika) czy taką funkcję outsourcować na zewnątrz – nawet jeśli nie są do tego zobligowane przepisami prawa ponieważ jeżeli nie będzie formalnie ustanowionej odpowiedzialności za obszar ochrony danych, to ten system nie będzie prawdopodobnie funkcjonował – podkreśla adw. Marcin Zadrożny, ekspert ds. ochrony danych, ODO 24.
Źródło: ODO 24