Zgodnie z RODO, maksymalna kara nakładana na podmioty naruszające przepisy o ochronie danych osobowych, może wynieść do 20 mln euro, lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku. W praktyce nakładane kary nie są wymierzane w maksymalnej wysokości, choć trudno uznać je za symboliczne.
Ich wysokość zależy od wielu czynników, np. charakteru naruszenia, jego wagi czy czasu trwania. Istotne są także działania podjęte w celu zminimalizowania skutków naruszenia oraz współpraca z organem nadzorczym w toku postępowania.
Przykładowo, irlandzki organ nadzorczy nałożył na Meta Platforms Ireland Limited (Meta IE) – administratora Facebooka i Instagrama – kary pieniężne w wysokości odpowiednio 210 mln euro oraz 180 mln euro, za brak zgodności z prawem i przejrzystości przetwarzania danych osobowych do celów reklamy behawioralnej.
W oparciu o podobny stan faktyczny karę o wiele mniejszą, bo 5,5 mln euro, nałożono na WhatsApp IE, który wymusił na użytkownikach akceptację nowych warunków korzystania z aplikacji. W przypadku braku zgody użytkownicy utraciliby dostęp do aplikacji, w tym do treści swoich rozmów i zdjęć.
@@
Naruszanie przepisów RODO
Za oczywiste naruszenie przepisów RODO z pewnością uznaje się te sytuacje, w których dane osobowe użytkowników trafiły w niepowołane ręce, wskutek błędu (np. biuro rachunkowe wysłało formularze PIT, zawierające dane osobowe nie do tych osób, do których powinno), albo wskutek niewłaściwego zabezpieczenia od strony informatycznej, co skutkowało np. wyciekiem danych z bazy klientów.
Jeśli dochodzi do naruszenia ochrony danych osobowych, wówczas kluczowa jest analiza, czy dany incydent wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych. Zgłoszeniu nie podlegają sytuacje, w których jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W pozostałych wypadkach administrator powinien poinformować organ nadzorczy bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Dokonanie zgłoszenia nie jest równoznaczne z nałożeniem kary przez organ nadzorczy. Natomiast brak dokonania prawidłowej oceny naruszenia czy zaniechanie zgłoszenia zwiększa prawdopodobieństwo nałożenia kary. Każdy przypadek powinien być jednak analizowany i oceniany indywidualnie.
Przykładowo 136 tys. zł kary nałożono na spółkę Enea, za brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, polegającego na wysłaniu wiadomości e-mail z niezabezpieczonym hasłem i niezaszyfrowanym załącznikiem, zawierającym dane osobowe kilkuset osób.
W innym przypadku UODO nałożył na P4 Sp. z o.o., operatora sieci Play, karę w wysokości 250 tys. zł, za niezawiadomienie organu nadzorczego o naruszeniu danych osobowych
w terminie 24 godzin od wykrycia naruszenia, tj. w terminie wymaganym przez przepisy Prawa telekomunikacyjnego.
Szybka informacja
Przypadek spółki P4 może być pouczający dla wielu firm. Sprawa dotyczyła przesłania kompletu dokumentów klienta na niewłaściwy adres e-mail, który sam klient błędnie podał w trakcie procesu zawierania umowy. I to ten sam klient zawiadomił spółkę, że podany przez niego adres e-mail jest błędny. Spółka nie dokonała zgłoszenia naruszenia do UODO i nie powiadomiła o nim klienta. Incydent został zgłoszony dopiero po wszczęciu postępowania przez UODO.
Tymczasem z przepisów Prawa telekomunikacyjnego wynika, że o naruszeniu danych osobowych należy zawiadomić UODO, nie później niż 24 godziny po wykryciu naruszenia danych osobowych. Na wymierzoną karę wpływ miało także to, że nie był to pierwszy taki przypadek w dotychczasowej działalności tej spółki.
UODO w uzasadnieniu swojej decyzji podkreślił, że operator sieci Play, jako administrator danych, dwukrotnie uzyskał informacje, które powinny pozwolić mu na wykrycie naruszenia. Po raz pierwszy, gdy klient sam poinformował, że adres e-mail wskazany w procesie podpisywania umowy jest nieprawidłowy. I po raz drugi, kiedy administrator otrzymał pismo od UODO, wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych.
Organ nadzorczy wielokrotnie w decyzjach podkreślał, jak ważne jest przejrzyste informowanie przez administratorów danych osobowych, jaki jest cel przetwarzania danych osobowych, które gromadzą. Jedna ze skarg dotycząca WhatsApp związana była właśnie z tym że spółka w sposób niewystarczający poinformowała użytkowników, w jaki sposób następuje przekazanie ich danych do Facebooka, za co WhatsApp otrzymał karę w wysokości 225 mln euro.
Od dawna organizacje pozarządowe, prawnicy, ale i użytkownicy, wskazują na problem gigantów technologicznych, takich jak Amazon, Meta, Google czy Microsoft, których biznesowy cel wiąże się nierozerwalnie z przekazywaniem danych, z uwagi na świadczenie kilku, powiązanych ze sobą usług.
@@
Prawidłowe pozyskiwanie danych
Zgoda na udostępnianie tych danych nie może być „wymuszana”, czy „ukryta”, a użytkownicy powinni podejmować świadome decyzje, o korzystaniu z danej platformy, po uprzednim precyzyjnym uzyskaniu informacji, kto jest administratorem ich danych osobowych, oraz w jakim celu administrator przetwarza ich dane osobowe i komu je udostępnia.
Jako przykład z polskiego podwórka można wskazać karę, jaką w listopadzie 2022 r. nałożył UODO na tzw. kancelarię odszkodowawczą. Kara wyniosła 45 tys. zł i została nałożona w związku z tym, że nastąpiło niezgodne z prawem pozyskanie i przetwarzanie danych osobowych osób poszkodowanych w wypadkach komunikacyjnych, w celu złożenia im oferty świadczenia usług.
W tym przypadku spółka pozyskiwała dane potencjalnych klientów – najczęściej poszkodowanych w wypadkach komunikacyjnych – z wiadomości medialnych publikowanych na portalach internetowych, w mediach społecznościowych, czy bezpośrednio z rozmów z sąsiadami tych osób.
Pozyskane w ten sposób informacje pozwalały na identyfikację miejsce zamieszkania, co wykorzystywano do nawiązania bezpośredniego kontaktu i złożenia oferty świadczenia pomocy prawnej. Zanim została złożona oferta potencjalnym klientom, pytano ich o zgodę, jednak jedynie ustnie, co dla UODO było niewystarczające, zwłaszcza że spółka nie prowadziła ewidencji takich zgód.
Dopóki mamy do czynienia z potencjalnym klientem, nie możemy przetwarzać danych, powołując się na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze zawarta. W omawianym przypadku UODO podkreślił, że dane osobowe były pozyskiwane i przetwarzane przez spółkę, dla oceny stopnia opłacalności zawarcia umowy z potencjalnym klientem, oraz w celu nawiązania z nim ponownie kontaktu i ustalenia, czy w ogóle chce on zawrzeć umowę. Urząd po przeanalizowaniu sprawy stwierdził naruszenie zasad przetwarzania danych osobowych, wskazując przetwarzanie danych potencjalnych klientów bez podstawy prawnej.
Decyzje UODO
Najwyższa dotychczas kara w wysokości ponad 4,9 mln zł została nałożona przez polski organ nadzoru na Fortum Marketing and Sales Polska SA. Urząd podkreślił, że spółka nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT, opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. Urząd ukarał również podmiot przetwarzający karą w wysokości 250 tys. zł.
Jednocześnie inna głośna decyzja UODO, nakładająca dotkliwą karę na sklep Morele.net, została w lutym 2023 r. uchylona przez Naczelny Sąd Administracyjny. Jak wynika z uzasadnienia wyroku, kluczowym dla nałożenia kary za naruszenie ochrony danych i ustalenia jej wymiaru, powinna być, nie tyle skala skutków naruszenia, ile niedochowanie wymaganych zabezpieczeń.
NSA podkreślił, że w skomplikowanych stanach faktycznych UODO może nie dysponować odpowiednią wiedzą i doświadczeniem pozwalającym na samodzielną ocenę, czy stosowane środki bezpieczeństwa były wystarczające – dlatego też w postępowaniu konieczne było sporządzenie opinii przez biegłego sądowego, co nie nastąpiło i uznane zostało za uchybienie wpływające na treść rozstrzygnięcia.
Co istotne, wskazano, że naruszenie ochrony danych osobowych, może mieć miejsce również przy zachowaniu najwyższego standardu stosowanych środków, a administrator nie może w takim przypadku być karany za nielegalne działanie osób trzecich (np. hakera). Takie zakończenie sprawy Morele.net być może mieć istotny wpływ na dalszą praktykę UODO w podobnych sprawach w przyszłości.
Dominika Chodkowska – adwokat z kancelarii Lawsome
Paulina Ostrowska – adwokat z kancelarii Lawsome