RODO: czy polskie firmy muszą obawiać się wysokich kar za brak ochrony danych osobowych
Przed 25 maja br. przedsiębiorcy straszeni byli ogromnymi sankcjami, które będą im grozić za niestosowanie się do nowego prawa. Zgodnie z przepisami przed nałożeniem kary każdy przypadek ma być rozpatrywany indywidualnie. Przy czym istotne będą elementy takie jak np. skala naruszenia, umyślność działań, co zrobiono, żeby zminimalizować szkody poniesione przez osoby, których dane dotyczą, czy jest to pierwsze, czy kolejne przewinienie. Warto pamiętać, że organ nadzorczy może uwzględniać wszelkie okoliczności obciążające lub łagodzące. Należy pamiętać również, że nie każde postępowanie musi zakończyć się karą finansową. Czytaj także: A gdyby nie było RODO?
Jeśli działanie było celowe, nie zdarzyło się pierwszy raz, a winny nie będzie chciał współpracować z UODO, to można zakładać, że dana firma otrzyma wyższe sankcje. Trzeba jednak pamiętać, że według art. 83 ust. 3: „jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie”. Niestety przesłanki ustalania finansowych kar administracyjnych są nieostre i tego powinny obawiać się organizacje. Oczywiście decyzje administracyjne będą podlegały kontroli sądowo-administracyjnej.
Jak dochodzić swoich praw
– Ponadto, należy pamiętać, że każda osoba, której dane są przetwarzane i w związku z tym przetwarzaniem (niezgodnym z przepisami RODO) poniosła szkodę majątkową lub niemajątkową ma możliwość dochodzenia przed sądem okręgowym naprawienia szkody od administratora lub podmiotu, któremu dane zostały powierzone przez administratora. Z tym zastrzeżeniem, że administrator danych powinien wybierać takie podmioty przetwarzające, które zapewniają gwarancje właściwych zabezpieczeń danych – mówi adw. Marcin Zadrożny ODO 24. – Nasze dane to również nasza prywatność i bezpieczeństwo. Nieprawidłowe przetwarzanie danych i niewłaściwe ich zabezpieczanie naraża nas na bardzo negatywne konsekwencje, w tym na szkody majątkowe, a nawet na kradzież tożsamości. Bezpośrednia podstawa prawna do dochodzenia roszczeń od podmiotów, które spowodowały szkodę lub krzywdę była nam potrzebna – dodaje.
Często organizacje przetwarzające dane nie zdają sobie sprawy, jak cenne informacje o nas przetwarzają.
Czy coś się zmieni
W Polsce liczba osób korzystających codziennie z Internetu stale rośnie (64%). Co więcej ¾ obawia się, że dostawcy usług posiada zbyt dużo ich danych osobowych – wynika z badania przeprowadzonego przez Kantar Public. Od 25 maja 2018 do końca czerwca 2018 roku do Urzędu Ochrony Danych Osobowych wpłynęło ponad 750 skarg w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych.
– Warto zwrócić uwagę, że górne limity kar są dość przerażające i obowiązują we wszystkich państwach Unii Europejskiej. W Polsce sankcje będą nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Przedsiębiorcy, którzy wcześniej mieli „apetyt na ryzyko”, zmuszeni zostali do ponownej jego kalkulacji. Można założyć, że wysokie kary zmotywują organizacje do przykładania większej wagi i respektowania przepisów o ochronie danych osobowych, a także – co za tym idzie – do inwestycji w bezpieczeństwo – wskazuje adw. Marcin Zadrożny, ODO 24.
Organizacje muszą zastanowić się nad zwiększeniem budżetów na zabezpieczenie danych z uwagi na ryzyka występujące dla tych danych, a w szczególności nad rozwiązaniami informatycznymi, m.in. systemy monitorowania zdarzeń w systemach (SIEM – Security Information and Event Management) i zapobiegania wyciekom informacji (tzw. DLP – ang. Data Lost Prevention) oraz rozwiązania wykrywające i blokujące ataki sieciowe (IDS/IPS – Intrusion Detection/PreventionSystems), mechanizmy wspierające zarządzanie dostępami (IdM – Identity Management).
Źródło: ODO 24