Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) przewiduje możliwość nakładania kar finansowych za nieprzestrzeganie, złamanie lub naruszenie jego przepisów. W Polsce są one nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) w drodze decyzji administracyjnej. Od momentu wejścia w życie RODO w Polsce nałożono już ponad 60 kar na łączną kwotę ponad 3,4 miliona euro.
Ostatnia nałożona w 2023 roku kara finansowa Prezes Urzędu Ochrony Danych Osobowych w wysokości 100 000 euro dotyczy Ministra Zdrowia i naruszenia polegającego na niezgodnym z prawem przetwarzaniem danych osobowych, w tym danych szczególnej kategorii. Dane te były pozyskiwane przez elektroniczną platformę a następnie opublikowane zostały na platformie społecznościowej ,,X” bez podstawy prawnej. Tu również stwierdzono brak odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych oraz nieprzedstawienia osobom, których dane naruszono informacji, o których mowa w art. 33 ust. 3 lit. c) i d) RODO, tj. opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Od stycznia 2024 roku PUODO nałożył już cztery kary finansowe. Pierwsza z nich po raz kolejny nałożona została na portal Morele.net z siedzibą w Krakowie, która uprzednio w roku 2019 obciążona została sankcją wynoszącą 660 000 euro. Morele.net po raz kolejny naruszyła przepisy RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, co skutkowało naruszeniem zasady integralności i poufności. Kara ta wyniosła 3 819 960 zł, co stanowi równowartość kwoty 810 000 euro.
Kolejna kara nałożona w tym roku dotyczyła podmiotu prowadzącego działalność gospodarczą i naruszenia przepisów RODO polegającym na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Administracyjna kara pieniężna została nałożona w wysokości 9.903,60 zł. Ponadto organ nakazał zawiadomienie – w terminie 3 dni od dnia doręczenia decyzji – wyszczególnionych w tej decyzji trzech osób, których dane w postaci numeru PESEL zostały ujawnione w wyniku przedmiotowego nieuprawnionego udostępnienia, o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679. Podkreślono, iż wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale również wobec osób, których dane dotyczą.
Ostatnia kara finansowa w wysokości 78.575,40 zł nałożona została na Toyota Bank Polska S.A. z siedzibą w Warszawie, która dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych obejmującego dane osobowe jednej osoby fizycznej w zakresie: imienia i nazwiska, numeru rachunku bankowego, adresu zamieszkania, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego. Naruszenie to polegało na wysłaniu w wyniku błędu pracownika przesyłki bankowej zawierającej umowę i harmonogram spłaty kredytu do innego klienta Banku – doszło do ujawnienia danych osobie nieuprawnionej. Korespondencja została zwrócona do Banku, jednak ze złożonych wyjaśnień wynika, iż zarejestrowano wyłącznie incydent bezpieczeństwa w związku z zaistniałą sytuacją, a nie dokonano zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wymaganym terminie.
Najsurowszą karą nałożoną do tej pory stanowi 4 911 732 zł nałożone na Fortum Marketing and Sales Polska S.A. współpracującą z PIKA Sp. z o.o., której kara finansowa wyniosła 250 135 zł. W zgłoszonym naruszeniu wskazano, iż doszło do dokonania kopii danych klientów Administratora, a zdarzenie jest związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym dla usług, w celu zwiększenia wydajności działania całości repozytorium. Organ uznał, iż spółki związane umową powierzenia przetwarzania danych osobowych dopuściły się naruszenia wskutek niewdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo danych osobowych, skutkujących naruszeniem ich poufności oraz na braku weryfikacji podmiotu przetwarzającego. Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Fortum Marketing and Sales Polska S.A. oraz PIKA sp. z o.o. organ wziął pod uwagę okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej takie jak: charakter i waga naruszenia, stopień odpowiedzialności spółek z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, stosowne wcześniejsze naruszenia przepisów rozporządzenia i kategorie danych osobowych, których dotyczyło naruszenie.
Warto również zauważyć, że organy nadzorcze mają uprawnienia do nakładania także innych sankcji niż kary finansowe, takich jak na przykład ostrzeżenia, ograniczenia przetwarzania danych lub tymczasowy bądź trwały zakaz przetwarzania danych.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 10 kwietnia 2024 r.
autor: