Przez dotychczasowy okres obowiązywania nowych przepisów unijnych dotyczących ochrony danych osobowych odnotowane zostało przez organy nadzorcze poszczególnych państw Europejskiego Obszaru Gospodarczego już kilka bardziej spektakularnych naruszeń ochrony danych osobowych, jak i tych mniej efektownych, co nie znaczy mniej istotnych. Poniżej postaram się Państwu przybliżyć zarówno aspekty prawne odnoszące się do naruszenia ochrony danych osobowych jak i podać kilka interesujących przykładów samych naruszeń.
Przy działaniach związanych z naruszeniem ochrony danych osobowych niezmiernie istotnym czynnikiem jest czas. Administrator danych osobowych nie może zapominać o cezurze czasowej, która jest ujęta w art. 33 ust. 1 RODO, a mianowicie 72 godzinach. Ten czas po stwierdzeniu naruszenia jest niezbędny ADO w celu jego analizy i oceny konieczności dokonania zgłoszenia naruszenia do organu nadzorczego z zachowaniem odpowiednich procedur. Według Grupy Roboczej Art. 29, administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych. Administratorzy w niektórych sytuacjach mogą mieć problem ze skompletowaniem wszystkich informacji na temat naruszenia w przeciągu 72 godzin. Dlatego też, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie.
W wielu przypadkach ADO powinien również wykonać zawiadomienie względem osoby, której dane dotyczą, o tymże naruszeniu, o którym mowa w art. 34 RODO: „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą̨, o takim naruszeniu”.
O potrzebie zawiadomienia możemy mówić z pewnością, gdy odnotowane naruszenie będzie prowadzić m.in. do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Co istotne nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej. Zawiadomienie powinno być sporządzone jasnym i prostym językiem opisujące charakter naruszenia ochrony danych osobowych bez zbędnej zwłoki
Jak widać powyżej, obowiązki administratora wynikające z faktu zaistnienia naruszenia ochrony danych osobowych wymagają szybkości w działaniu jak również odpowiedniego poziomu dokładności, dzięki któremu zostanie utrzymana należyta staranność w zakresie obsługi danego naruszenia.
Kilka przykładów naruszeń, które miały miejsce w minionym czasie, daje asumpt do tego, czym może zakończyć się naruszenie ochrony danych osobowych. Oczywiście konsekwencje finansowe mogą robić mniejsze bądź większe wrażenie, natomiast warto zwrócić uwagę także na aspekt związany z wizerunkiem karanego podmiotu, który również wydaje się niezmiernie istotny.
Niemalże z ostatniej chwili, warte odnotowania jest naruszenie zakończone karą w wysokości 8 150 000 euro nałożoną przez hiszpański organ nadzorczy (Agencia Española Protección Datos – AEPD) na operatora telekomunikacyjnego Vodafone España S.A.U. Przyczyną było stosowanie przez operatora m.in. agresywnych praktyk telemarketingowych. Organ stwierdził także, że spółka dokonywała transferów danych osobowych za granicę bez zapewnienia odpowiednich zabezpieczeń.
Kolejnym ciekawym przykładem jest kara, chociaż niemająca jeszcze charakteru ostatecznego, nałożona przez norweski organ nadzorczy (Datatilsynet) na administratora aplikacji społecznościowej Grindr za naruszenie przepisów RODO. Wskazana kwota to aż 100 000 000 koron norweskich (prawie 44 000 000 złotych). Regulator stwierdził, że dane osobowe użytkowników zostały udostępnione wielu podmiotom trzecim bez podstawy prawnej.
Jedna z dotkliwszych kar z tytułu naruszeń przepisów RODO pozostaje ta nałożona w 2019 r. przez francuski organ ochrony danych osobowych CNIL na koncern Google. Kara wyniosła 50 000 000 euro. CNIL w uzasadnieniu swojej decyzji poruszył fakt, że Google nie zachowało należytej przejrzystości w kwestii tego, jak wykorzystywane są dane użytkowników oraz to, że używało ich do personalizacji reklam nie dysponując przy tym odpowiednią podstawą prawną.
Jak wynika z cytowanego przez dziennik „Financial Times” badania zleconego przez spółkę DLA Piper
w 2020 r. grzywny związane z niewłaściwym stosowaniem RODO wyniosły 159 mln euro, co stanowi wzrost o 40 proc. względem pierwszych 20 miesięcy obowiązywania przepisów rozporządzenia.
Autor: Radosław Aniszczyk