Z dniem 25 maja 2018 r. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane powszechnie „RODO” lub „GDPR” (od angielskiej nazwy General Data Protection Regulation).

RODO określa zasady przetwarzania informacji prywatnych o osobach fizycznych, które stosować muszą wszystkie organizacje działające na terenie Unii Europejskiej. Istotną kwestią jest również określenie poziomu kar za naruszenia przepisów. I tak zgodnie z art. 83 RODO wyróżnia się dwie kategorie kar finansowych:

  • do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa) za naruszenie obowiązków administratora lub podmiotu przetwarzającego dotyczących m.in. przetwarzania danych osobowych osób nieletnich bez zgody rodziców lub opiekunów, brak rejestru czynności przetwarzania, nieprzestrzeganie zasady privacy by design czy niezgłoszenie naruszeń organowi nadzorczemu.
  • do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa) za naruszenia dotyczące podstawowych zasad przetwarzania, jak np. brak podstawy prawnej przetwarzania, naruszenia praw osób, których dane dotyczą (jak prawo do dostępu, usunięcia, sprostowania, przenoszenia oraz ograniczenia przetwarzania danych i do bycia zapomnianym) czy ukrywanie informacji o celu przetwarzania danych.

Co ciekawe, w Polskim prawie mamy ograniczenia wysokości kar, które przewiduje ustawa o ochronie danych osobowych z dnia 10 maja 2018 r:

  • do 10 000 złotych w przypadku państwowych i samorządowych instytucji kultury.
  • do 100 000 złotych w przypadku jednostek sektora finansów publicznych, instytutów badawczych i Narodowego Banku Polskiego;

RODO nie wskazuje konkretnych środków bezpieczeństwa, które musi stosować administrator danych osobowych w swoim systemie informatycznym, aby spełniać jego wymagania i uniknąć potencjalnej kary. Brak jakichkolwiek wymogów technicznych w stosunku do systemów IT wynika z faktu zmiany podejścia do kwestii bezpieczeństwa w aktualnie obowiązujących przepisach: to ADO powinien wykazać, że chroni dane osobowe na odpowiednim poziomie. Służyć ma temu udokumentowany proces szacowania ryzyka, którego wynikiem jest identyfikacja podatności i zagrożeń oraz dobranie adekwatnych do ich poziomu zabezpieczeń.

 

Przykładowe kary dotyczące systemów informatycznych

Norwegia jest członkiem Europejskiego Obszaru Gospodarczego, a więc na jej terytorium również zastosowanie znajdują przepisy RODO. W marcu 2019 roku Norweski Organ Nadzorczy (Datatilsynet) nałożył karę na miasto Bergen w wysokości 170 000,00 EUR. W uzasadnieniu podano, iż ze względu na niewystarczające środki bezpieczeństwa dane osobowe ponad 35 000 uczniów i pracowników szkół znajdujące się w systemie informatycznym (takie jak nazwa użytkownika, hasło, data urodzenia, adres, przynależność do danej szkoły oraz klasa) nie były wystarczająco chronione przed nieuprawnionym dostępem osób trzecich. Pracownicy oraz uczniowie uzyskiwali dostęp do różnych systemów po zalogowaniu, np. do centralnej platformy, która zawierała prace uczniów oraz indywidualną ocenę każdego z nich, przygotowaną przez nauczyciela. Fakt, że większość poszkodowanych to dzieci, a samorząd był kilkukrotnie ostrzegany, uznano za czynniki obciążające. Datatilsynet wydał decyzję administracyjną, zgodnie z którą brak posiadania przez miasto odpowiednich środków ochrony danych w systemie informatycznym stanowi naruszenie art. 5 ust. 1 lit. f) oraz art. 32 RODO.

Kolejnym przykładem może być kara nałożona przez Węgierski Organ Nadzorczy (NAIH) miesiąc później – w kwietniu 2019 roku. Otóż NAIH otrzymało zgłoszenie dotyczące strony internetowej http://web.dkp.hu obsługiwanej przez węgierską partię polityczną – Koalicję Demokratyczną (DK). W komunikacie węgierski urząd został poinformowany przez obywatela Węgier, iż baza danych zawierająca dane osobowe zwolenników partii jest powszechnie dostępna na anonimowym forum hackerskim i zawiera takie dane jak: adresy e-mail użytkowników, ich imiona i nazwiska, loginy oraz słabo zaszyfrowane hasła. Baza danych stała się dostępna na forum hackerów, gdy dotarł do niej nieznany napastnik wykorzystując lukę SQL w witrynie, a następnie umieścił wykradzione dane w Internecie. DK była świadoma naruszenia danych, ponieważ hacker również ją o tym fakcie poinformował. NAIH nałożył na partię karę administracyjną w wysokości 11 mln HUF (35 000 EUR) za naruszenie art. 33 oraz 34 RODO, ponieważ pomimo wiedzy o wystąpieniu naruszenia bezpieczeństwa danych osobowych DK nie powiadomiła organu nadzorczego i nie poinformowała o tym około 6000 osób, których dane dotyczyły.

Najnowsza kara dotycząca przetwarzania danych osobowych w systemie informatycznym została nałożona w lutym 2020 r. na Vodafone España przez Hiszpański Organ Nadzorczy – AEPD. W opublikowanej na stronie internetowej informacji podano, iż zgłoszenie pochodziło od osoby fizycznej, która otrzymała wiadomość email od Vodafone España zawierającą billing linii telefonicznej. Problem w tym, iż osoba ta nigdy o niego nie wnioskowała, co skutkowało przetwarzaniem danych osobowych bez zgody osoby, której dane dotyczą. Ponadto AEPD podkreśliło, że dane osobowe zgłaszającego naruszenie znajdowały się w systemie informatycznym, a Vodafone España nie było w stanie przedstawić dowodu, że osoba, której dane dotyczą, wyraziła zgodę na gromadzenie i późniejsze przetwarzanie swoich danych osobowych. W rezultacie nałożona została kara za naruszenie art. 6 ust. 1 lit. a) RODO w wysokości 100 000 EUR, która została następnie obniżona do 60 000 EUR w wyniku przyznania się do winy i dobrowolnej wpłaty Vodafone España.

Autor:

Tomasz Cieślik