Amerykańska firma Equifax zajmuje się analizą kredytową i doradztwem. Między 13 maja a 30 czerwca 2017 r. wyciekły jej dane 146 mln klientów, w tym 15 mln Brytyjczyków.  Information Commissioner's Office Case Team (ICO) – brytyjski odpowiednik Urzędu Ochrony Danych Osobowych - za brak ochrony danych nałożył na nią grzywnę w wysokości 500 tys. funtów, czyli ok. 2 mln zł.  Z kolei w lipcu francuski CNIL (Commission Nationale Informatiqw&Libertes) nałożył 250 tys. euro kary na Optical Center – firmę zajmującą się sprzedażą okularów przeciwsłonecznych, która nie zabezpieczyła dobrze danych swoich klientów .

Można było do nich dotrzeć poprzez wpisanie kilku adresów URL w wyszukiwarkę. W ten sposób można było pozyskać: imię i nazwisko, miejsce zamieszkania, dane dotyczące stanu zdrowia, a nawet numer ubezpieczenia zdrowotnego. Ten sam urząd ukarał też wspólnotę mieszkaniową za to, że wysłała do swoich członków pismo o charakterze politycznym. – W ten sposób zmieniła cel przetwarzania danych – tłumaczy Arwid Mednis, radca prawny, partner w PwC Legal. - Dane zebrane do zarządzania wspólnoty zostały wykorzystane w celu politycznym.  Po 25 maja kary mogłyby być znacznie wyższe.

 


 

Z RODO kary o 30 proc. wyższe

Pod rządami RODO kara dla Optical Center zamiast 250 tys. euro mogłaby wynieść ok. 320 tys. euro – mówi Gerard Karp, partner w kancelarii PwC Legal. Dlaczego?  - Zgodnie z RODO za naruszenie przepisów może zostać nałożona kara finansowa do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa – wyjaśnia Gerard Karp. Arwid Mednis przeprowadził symulację wzrostu kar na przykładzie tych nakładanych przez CNIL. - Pod RODO kary wzrosłyby o ok. 30 procent – uważa Mednis. -  Dodatkowo firmy będą zmagały się z roszczeniami od klientów – dodaje.

Klienci mogą pójść do sądu

Zgodnie z RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. – Art. 82 RODO stanowi bezpośrednio skuteczną podstawę dochodzenia roszczeń odszkodowawczych w przypadku naruszenia przepisów ochronie danych osobowych – dodaje dr Mirosław Gumularz, radca prawny z kancelarii GKK (Gumularz Kozik). O jakie odszkodowanie można walczyć? Tego RODO nie precyzuje. Gerard Karp jest jednak przekonany, że jeszcze w tym roku pojawią się pierwsze sprawy w sądach.

Amerykanie określili stawki

Maciej Gawroński, radca prawny, partner w kancelarii Gawroński&Partners zauważa jednak, że Equifax za taki wyciek jak w 2017 r., za dwa lata w Kalifornii groziłoby co najmniej  1,5 mld dolarów odszkodowania. Zgodnie bowiem z California Consumer Privacy Act, który zacznie obowiązywać od stycznia 2020 r. za każde naruszenie przepisów o ochronie danych, każdy konsument będzie mógł żądać od 100 do 750 dolarów.

 



Arwid Mednis uspokaja jednak. - To nie jest tak, że gdy fryzjer zbiera dane swoich klientów, a te wyciekną, to przyjdzie UODO i nałoży kary, a klienci pójdą od razu do sądu. Dlatego nie należy straszyć wielkością kar – mówi Mednis. Choć dodaje, że nieprzestrzeganie RODO zwłaszcza przy przetwarzaniu danych na dużą skalę może sporo kosztować. Nie będą one jednak miliardowe.

  - Jeśli sprawa dotyczy przetwarzania danych  w kilku państwach członkowskich, to właściwy jest organ nadzorczy unijnej centrali firmy. Stąd PUODO mógłby nałożyć miliardową karę tylko, gdyby polska firma miała 400 miliardów globalnego obrotu, lub gdyby globalna firma o takiej skali w Polsce założyła swoją unijną centralę. Niestety, wszystkie pozaunijne lokują się w Irlandii -  wyjaśnia Gawroński.

Pierwsze kary w październiku

Pod koniec sierpnia dr Edyta Bielak- Jomaa, prezes UODO, poinformowała, że jeszcze w tym roku zacznie kontrola monitoringu wizyjnego. - Okres przejściowy kończy za miesiąc, a Urząd zamierza sprawdzić, jak monitoring jest stosowany w różnych podmiotach, zarówno publicznych, w tym w szkołach, jak i prywatnych - mówiła prezes UODO. 

Sprawdź w LEX SIP jak wygląda kontrola UODO:

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>