Przegląd kar nałożonych przez Prezesa UODO - praktyczne wskazówki dla administratorów danych
Do końca 2021 r. Prezes UODO wyda ok. 1600 decyzji administracyjnych. Dotychczas opublikowano zaledwie 30, ale aż 12 z nich dotyczyło nałożenia kary pieniężnej. Jest to widoczny wzrost w porównaniu do lat ubiegłych. Za co najczęściej karano administratorów i dlaczego? Tego dowiesz się z LEX Ochrona Danych Osobowych.
Administracyjna kara pieniężna ma być skuteczna, proporcjonalna i ma odstraszać przed ponownym dokonaniem naruszenia przepisów RODO. W rzeczywistości nie zawsze spełnia swoje funkcje, gdyż z roku na rok zwiększa się liczba skarg wpływających do Prezesa UODO. Zdecydowana mniejszość spraw kończy się wydaniem decyzji nakładającej karę pieniężną, niemniej jednak ich liczba z roku na rok wzrasta. W 2019 r. takich decyzji nakładających kary pieniężne było osiem, w 2020 r. jedenaście, a w 2021 roku opublikowano już dwanaście takich decyzji. Czy dotychczas nałożone kary były wystarczająco dotkliwe, by zapobiec naruszeniom w przyszłości?
Bądź pierwszy i zgłoś naruszenie
Brak zgłoszenia naruszenia nie oznacza braku odpowiedzialności za przewinienia. Jest to bardzo ryzykowna strategia. Praktyka pokazuje, że zawsze może znaleźć się osoba, która poinformuje Urząd Ochrony Danych Osobowych o naruszeniu, co też miało to miejsce w przypadku Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A.. O wysłaniu maila z polisą do nieuprawnionego adresata Prezesa UODO poinformował sam odbiorca wiadomości. W konsekwencji organ nadzorczy dowiedział się również o braku zawiadomienia o naruszeniu osoby, której dane zostały udostępnione. Skutkiem tego była kara pieniężna w wysokości 85 000 złotych. Podobna sytuacja miała miejsce w sprawie sopockiego Towarzystwa Ubezpieczeń ERGO HESTIA S.A., gdzie to podmiot przetwarzający w wyniku pomyłki adresu mailowego udostępnił dane osobowe. Terminowo zawiadomił Prezesa UODO, czego nie zrobił sopocki oddział ERGO HESTII. Administracyjna kara pieniężna w tym wypadku sięgnęła prawie 160 000 złotych.
50 tys. zł za brak wystarczających zabezpieczeń
O tym, jak ważne są procedury i przeprowadzanie kontroli, dowiedziała się Szkoła Główna Gospodarstwa Wiejskiego. Jej pracownikowi skradziono prywatny laptop, który zawierał dane osobowe studentów. Prezes UODO zarzucił administratorowi m.in. brak aktualizacji dokumentacji ochrony danych oraz brak audytów wewnętrznych. Przypadek SGGW pokazuje jak ważna jest inwentaryzacja zasobów.
Współpraca popłaca
Brak współpracy z UODO w ramach wykonywania przez organ nadzorczy jego zadań również może skutkować nałożeniem kary pieniężnej. Funeda Sp. z o. o. nie przekazała dostępu do danych i nie udzieliła niezbędnych informacji do rozpatrzenia skargi, która wpłynęła do Prezesa UODO. Nie przekazała również wyjaśnień mimo dwukrotnych wezwań. Nie należy ignorować pism od Prezesa UODO, gdyż może to kosztować nawet ponad 20 000 złotych, jak w przypadku Funeda Sp. z o. o., która nie skontaktowała się z Prezesem aż do wydania decyzji nakładającej karę.
Jeżeli chcesz wiedzieć więcej na temat ostatnich kar pieniężnych, jakie nałożył Prezes UODO, w LEX Ochrona Danych Osobowych czeka na Ciebie nagranie ze szkolenia, podczas którego Sylwia Czub-Kiełczewska - ekspertka od ochrony danych osobowych, opowiedziała o takich zagadnieniach, jak m.in.:
- jakie są ogólne warunki nakładania administracyjnych kar pieniężnych;
- czy każde zgłoszone naruszenie to potencjalna kara finansowa;
- czy ukarani administratorzy mieli możliwość uniknięcia kary;
- jak potoczyły się postępowania sądowe w sprawach dotyczących odwołania się od decyzji Prezesa UODO?
Podczas szkolenia nasza Ekspertka podzieliła się również wieloma praktycznymi wskazówkami, gotowymi do wykorzystania w Twojej organizacji!
