Milionowe kary za nieprzestrzeganie RODO

(2018-09-27)

Brytyjski odpowiednik Urzędu Ochrony Danych Osobowych nałożył 500 tys. funtów kary na firmę, której w 2017 r. wyciekły dane blisko 15 mln Brytyjczyków. Równie srogi jest francuski urząd. To są jednak kary sprzed RODO. Zdaniem prawników za wycieki po 25 maja będzie trzeba zapłacić więcej.

Amerykańska firma Equifax zajmuje się analizą kredytową i doradztwem. Między 13 maja a 30 czerwca 2017 r. wyciekły jej dane 146 mln klientów, w tym 15 mln Brytyjczyków.  Information Commissioner's Office Case Team (ICO) – brytyjski odpowiednik Urzędu Ochrony Danych Osobowych - za brak ochrony danych nałożył na nią grzywnę w wysokości 500 tys. funtów, czyli ok. 2 mln zł.  Z kolei w lipcu francuski CNIL (Commission Nationale Informatiqw&Libertes) nałożył 250 tys. euro kary na Optical Center – firmę zajmującą się sprzedażą okularów przeciwsłonecznych, która nie zabezpieczyła dobrze danych swoich klientów .
Można było do nich dotrzeć poprzez wpisanie kilku adresów URL w wyszukiwarkę. W ten sposób można było pozyskać: imię i nazwisko, miejsce zamieszkania, dane dotyczące stanu zdrowia, a nawet numer ubezpieczenia zdrowotnego. Ten sam urząd ukarał też wspólnotę mieszkaniową za to, że wysłała do swoich członków pismo o charakterze politycznym. – W ten sposób zmieniła cel przetwarzania danych – tłumaczy Arwid Mednis, radca prawny, partner w PwC Legal. - Dane zebrane do zarządzania wspólnoty zostały wykorzystane w celu politycznym.  Po 25 maja kary mogłyby być znacznie wyższe. 

 
Z RODO kary o 30 proc. wyższe
– Pod rządami RODO kara dla Optical Center zamiast 250 tys. euro mogłaby wynieść ok. 320 tys. euro – mówi Gerard Karp, partner w kancelarii PwC Legal. Dlaczego?  - Zgodnie z RODO za naruszenie przepisów może zostać nałożona kara finansowa do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa – wyjaśnia Gerard Karp. Arwid Mednis przeprowadził symulację wzrostu kar na przykładzie tych nakładanych przez CNIL. - Pod RODO kary wzrosłyby o ok. 30 procent – uważa Mednis. -  Dodatkowo firmy będą zmagały się z roszczeniami od klientów – dodaje.


Klienci mogą pójść do sądu
Zgodnie z RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. – Art. 82 RODO stanowi bezpośrednio skuteczną podstawę dochodzenia roszczeń odszkodowawczych w przypadku naruszenia przepisów ochronie danych osobowych – dodaje dr Mirosław Gumularz, radca prawny z kancelarii GKK (Gumularz Kozik). O jakie odszkodowanie można walczyć? Tego RODO nie precyzuje. Gerard Karp jest jednak przekonany, że jeszcze w tym roku pojawią się pierwsze sprawy w sądach.


Amerykanie określili stawki
Maciej Gawroński, radca prawny, partner w kancelarii Gawroński&Partners zauważa jednak, że Equifax za taki wyciek jak w 2017 r., za dwa lata w Kalifornii groziłoby co najmniej  1,5 mld dolarów odszkodowania. Zgodnie bowiem z California Consumer Privacy Act, który zacznie obowiązywać od stycznia 2020 r. za każde naruszenie przepisów o ochronie danych, każdy konsument będzie mógł żądać od 100 do 750 dolarów.  

Arwid Mednis uspokaja jednak. - To nie jest tak, że gdy fryzjer zbiera dane swoich klientów, a te wyciekną, to przyjdzie UODO i nałoży kary, a klienci pójdą od razu do sądu. Dlatego nie należy straszyć wielkością kar – mówi Mednis. Choć dodaje, że nieprzestrzeganie RODO zwłaszcza przy przetwarzaniu danych na dużą skalę może sporo kosztować. Nie będą one jednak miliardowe.
 - Jeśli sprawa dotyczy przetwarzania danych  w kilku państwach członkowskich, to właściwy jest organ nadzorczy unijnej centrali firmy. Stąd PUODO mógłby nałożyć miliardową karę tylko, gdyby polska firma miała 400 miliardów globalnego obrotu, lub gdyby globalna firma o takiej skali w Polsce założyła swoją unijną centralę. Niestety, wszystkie pozaunijne lokują się w Irlandii -  wyjaśnia Gawroński.


Pierwsze kary w październiku
Pod koniec sierpnia dr Edyta Bielak- Jomaa, prezes UODO, poinformowała, że jeszcze w tym roku zacznie kontrola monitoringu wizyjnego. - Okres przejściowy kończy za miesiąc, a Urząd zamierza sprawdzić, jak monitoring jest stosowany w różnych podmiotach, zarówno publicznych, w tym w szkołach, jak i prywatnych - mówiła prezes UODO. 

Organizator
Wolters Kluwer Polska Sp. z o.o.
Patronat Honorowy
Ministerstwo Cyfryzacji
Główni Partnerzy Merytoryczni
G+P Gawroński & Partners
Lubasz i Wspólnicy Kancelaria radców prawnych
Współpraca merytoryczna
LEX Ochrona Danych Osobowych
Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp. p.
Traple Konarski Podrecki i Wspólnicy
Sieradzka & Partners
Partnerzy
Altkom
Centrum Kształcenia Podyplomowego Uczelni Łazarskiego
PwC
Wsparcie technologiczne
LEX Compliance RODO
Patroni medialni
Prawo.pl
co do zasady
Back to Top