Kary za naruszenia przepisów RODO w UE
13 lutego, 2020Od momentu wejścia w życie RODO w dniu 25 maja 2018 r. zgłoszono ponad 160 000 powiadomień o naruszeniu danych w 28 państwach członkowskich Unii Europejskiej.
Zgodnie z najnowszym badaniem dotyczącym naruszenia danych RODO przeprowadzonym przez DLA Piper, organy ochrony danych nałożyły 114 mln EUR (około 126 mln USD / 97 mln GBP) kar pieniężnych w ramach systemu RODO za szeroki zakres naruszeń przepisów, nie tylko za naruszenia danych. Francja, Niemcy i Austria zajmują pierwsze miejsca w rankingu pod względem łącznej wartości nałożonych grzywien RODO. Odpowiednio suma kar pieniężnych wynosi nieco ponad 51 mln euro we Francji, 24,5 mln euro w Niemczech i 18 mln euro w Austrii. Holandia, Niemcy i Wielka Brytania znalazły się na szczycie tabeli pod względem liczby naruszeń danych zgłoszonych organom regulacyjnym, z których każdy organ w wymienionych krajach otrzymał odpowiednio: 40.647, 37.636 i 22.181 powiadomień.
Komentując opublikowany raport , Ross McKean, partner DLA Piper specjalizujący się w cyberprzestępczości i ochronie danych, powiedział: „RODO bardzo dobrze podniosło kwestię naruszenia danych. Odsetek powiadomień o naruszeniu wzrósł o ponad 12% w porównaniu do zeszłorocznego raportu, a organy nadzoru zajęły się testowaniem nowych uprawnień do nakładania sankcji i karania organizacji ”.
Najwyższa jak dotąd grzywna RODO wyniosła 50 mln EUR i została nałożona na Google przez francuski urząd ochrony danych w związku z domniemanym naruszeniem zasady przejrzystości i braku ważnej zgody, a nie za samo naruszenie danych. W następstwie dwóch poważnych naruszeń danych brytyjska ICO opublikowała dwa zawiadomienia o zamiarze nałożenia grzywien w lipcu 2019 r. na łączną kwotę 282 mln GBP (około 329 mln EUR / 366 mln USD), chociaż żadne z nich nie zostało sfinalizowane na dzień opublikowania niniejszego raportu.
Patrick Van Eecke, przewodniczący międzynarodowej praktyki ochrony danych DLA Piper, powiedział: „Dotychczasowe kary pieniężne RODO rodzą wiele pytań. Zapytaj dwóch różnych organów regulacyjnych, jak należy obliczać grzywny RODO, a otrzymasz dwie różne odpowiedzi. Wiele lat dzieli nas od pewności prawnej w tej kluczowej kwestii, ale jedno jest pewne, możemy spodziewać się kolejnych kar i odwołań w nadchodzących latach ”.
W niniejszym raporcie przyjrzano się też bliżej liczbie naruszeń zgłoszonych organom regulacyjnym w całej Europie i wyszczególniono liczbę grzywien wydanych w różnych krajach od rozpoczęcia nowego systemu RODO w dniu 25 maja 2018 r.
Zgodnie z RODO naruszenia danych osobowych skutkują „ryzykiem” dla praw i wolności osoby i muszą zostać powiadomione przez organizację „kontrolera” organy nadzorujące ochronę danych bez zbędnej zwłoki i, jeżeli jest to wykonalne, nie później niż 72 godziny po powzięciu wiadomości o naruszeniu. W przypadku kiedy naruszenie danych osobowych może spowodować „wysokie ryzyko” do praw i wolności osób fizycznych należy również powiadomić bez zbędnej zwłoki osoby, których dane dotyczą. Egzekwowanie RODO nie ogranicza się do naruszenia art. 32 (bezpieczeństwo przetwarzania). Dotychczasowe kary pieniężne RODO pokazują, że organy nadzorcze dążą również do karania za nieprzestrzeganie podstawowych zasad związanych z przetwarzaniem danych osobowych określonych w art.5 RODO, w szczególności do nieprzestrzegania zasady zgodności z prawem, uczciwości i przejrzystości oraz nieprzestrzegania zasady minimalizacji danych i ograniczenia przechowywania. Kilka organów nadzorczych nałożyło na administratorów grzywny za nieprzestrzeganie ich obowiązków związanych z prawami przysługującymi osobom, których dane dotyczą, w szczególności w odniesieniu do prawa dostępu do danych osobowych.
Podejście do publikowania szczegółowych informacji na temat egzekwowania RODO i grzywien różni się znacznie w poszczególnych krajach objętych badaniem. W niektórych przypadkach domyślną praktyką organów nadzorczych nie jest publikowanie nazw organizacji, które otrzymały grzywny. Autorzy tego raportu mają jednak nadzieję, że z czasem władze nadzorcze przekażą bardziej szczegółowe informacje na temat charakteru nałożonych grzywien i podmiotów ukaranych, aby poprawić przejrzystość informacji.