Od 25 maja 2018 r., czyli od pierwszego dnia stosowania RODO, do 31 grudnia 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęło ponad 3 tys. skarg. Wielu z nich nie nadano jednak dalszego biegu, bo są bezzasadne lub mają braki formalne. Do tego dochodzi ponad 2,4 tys. zgłoszeń. Oznacza to, że tylu administratorów samodzielnie zgłosiło się do UODO, bo uznało, że utrata danych mogła spowodować naruszenie praw lub wolności osób fizycznych. Zgodnie z art. 33 RODO, zgłoszenie powinno być przesłane w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Najwięcej informacji o naruszeniach pochodzi z branży ubezpieczeniowej i telekomunikacyjnej. Te dwa sektory będą objęte kontrolami w 2019 roku. Aż w 800 przypadkach UODO oceniło ryzyko naruszenia praw i wolności osób jako wysokie. Jest 16 zgłoszeń, w których można by było wskazać dużą skalę wycieku danych klientów sklepów internetowych, firm świadczących usługi on-line czy banków.
– Prowadzonych jest bardzo wiele postępowań, kary z pewnością wkrótce się pojawią. Powinny być dotkliwe, jak wymaga tego samo rozporządzenie – mówi dr Edyta Bielak-Jomaa, prezes UODO. Nie chce jednak podać, jakie sprawy konkretnie prowadzi, w których można spodziewać się znaczących kar. Zgodnie z RODO, podmiotom, które nie stosują się do nowych przepisów, grożą kary sięgające 20 mln euro albo 4 proc. rocznych globalnych obrotów przedsiębiorstwa.
Przypadek morele.net i Freshmail
Po 25 maja 2018 r. portal Niebezpiecznik.pl pisał o trzech znaczących wyciekach: z neo24.pl, adwokat.com, morele.net i FreshMail. Nieco więcej wiadomo o dwóch z tych firm. W połowie grudnia sklep morele.net rozesłał takiego maila: Doszło do nieuprawnionego dostępu do danych osobowych naszych klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również twoich danych. Dostęp został wykryty i zablokowany. Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych. Potem okazało się, że włamywacz – co podał portal Niebezpiecznik.pl – uzyskał też dostęp do danych z dowodów osobistych. Po tej informacji sklep potwierdził, że wyciek mógł dotyczyć części danych podawanych w niektórych wnioskach ratalnych, w przypadku zaznaczenia opcji “zgadzam się na zapisanie w morele.net moich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych”.
Niedługo później Niebezpiecznik.pl napisał, że FreshMail upublicznił dane ponad 1000 klientów. Poinformował o tym UODO, ale nie ofiary. Po przeanalizowaniu zdarzenia FreshMail ocenił poziom ryzyka na „średni” i dlatego uznał, że nie było konieczności poinformowania klientów. Taki obowiązek, zgodnie ze wspomnianym art. 33 RODO, istnieje tylko wtedy, jeśli wyciek wiąże się z wysokim ryzykiem naruszenia praw i wolności. Czy właśnie te firmy mogą spodziewać się wysokiej kary prezesa UODO za naruszenie RODO? Morele.net być może, ale FreshMail niekoniecznie.
Kara nie zawsze wysoka
Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy uważa, że skutkiem przeprowadzonej analizy przez UODO nie musi być koniecznie nałożenie kary. Jak wyjaśnia, prezes może skorzystać, obok lub zamiast kary pieniężnej, z uprawnień korekcyjnych z art. 58 RODO. Zgodnie z nim UODO może wydać ostrzeżenie, udzielić upomnienie, nakazać pewne zachowania, czy ograniczyć przetwarzanie.
Zdaniem Izabeli Kowalczuk-Pakuły, partnera w Bird & Bird, gdzie kieruje praktyką ochrony danych osobowych, wpływ na wysokość kary może mieć fakt, że FreshMail bardzo szybko zareagował na incydent i zgłosił naruszenie do prezesa UODO. I zwraca uwagę na przypadek niemieckiego portalu randkowego Knuddels.de. We wrześniu 2018 r., czyli już za czasów RODO, portal padł ofiarą ataku hakerów, w wyniku którego wyciekło m.in. 808 tys. adresów e-mail. Knuddels.de ściśle współpracował z organem nadzoru i bardzo szybko zareagował na naruszenie. - Dzięki tej współpracy została nałożona dość niska kara, biorąc pod uwagę okoliczności sprawy, w tym liczbę osób dotkniętych naruszeniem - 20 tys. euro - uważa mec. Kowalczuk-Pakuła. - Nie sugeruję, że prezes UODO nałoży karę o podobnej wysokości na FreshMail, ale że ważnym czynnikiem decydującym o nałożeniu kary albo jej braku jest ścisła współpraca z prezesem UODO – podkreśla.
Inaczej może być w sprawie morele.net. W tym przypadku UODO wydał nawet komunikat. - Prezes UODO po raz pierwszy od początku stosowania RODO poinformował publicznie, że prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami – mówi Izabela Kowalczuk-Pakuła. - Wydaje się, że Urząd nie bada wyłączenie kwestii dotyczących samego wycieku, ale także sprawdza czy spółka prowadzi swoją działalność zgodnie z RODO. Myślę, że wysokość kary oraz ewentualna decyzja nakazująca odpowiednie zachowanie się podmiotu będą zależały od poziomu zgodności spółki z RODO oraz transparentnej współpracy. Z reakcji prezesa UODO na wyciek w morele.net wynika, że postrzega ten wyciek jako o wiele poważniejszy ze względu na liczbę osób nim dotkniętych i rodzaj danych. Dane mogą obejmować numery PESEL, które to numery są bardzo newralgiczne w świetle praktyki Urzędu – dodaje Izabela Kowalczuk-Pakuła.
Jednolite zasady w całej Unii
Od 25 maja zasady nakładania kar są takie same w UE, wynikają z art. 83 RODO. Zgodnie z tym przepisem, kary mają być skuteczne, proporcjonalne i odstraszające, ale dostosowane do indywidualnego przypadku. Dominik Lubasz zwraca jednak uwagę, że nie tylko rodzaj danych i skala wycieku są wyznacznikami wysokości kary bazującej na stawce procentowej od obrotu. - Prezes UODO zobowiązany jest bowiem uwzględnić szereg innych okoliczności sprawy np. zawinienie, skąd dowiedział się o wycieku, charakter danych, współpracę z organem, stopień odpowiedzialności administratora lub procesora, w tym z uwzględnieniem wdrożenia RODO. Zagadnienie zatem jest bardzo indywidualne i takie też podejście powinno być w toku postępowania o nałożenie kary – uważa Lubasz.
Z informacji UODO wynika zaś, że zgłoszone naruszenia dotyczą np. ujawnienia osobom nieupoważnionym adresów e-mail klientów, a także imienia, nazwiska, adresu zamieszkania, numeru i serii dowodu osobistego, numeru PESEL, a nawet danych biometrycznych oraz dotyczących zdrowia, które są traktowane szczególnie. Z reguły powodem naruszeń są błędy ludzi, np. wysłanie dokumentów na zły adres.
Kary nie tylko za wyciek
W ciągu pierwszych siedmiu miesięcy stosowania RODO, Urząd otrzymał ponad 3 tys. skarg dotyczących nieprawidłowego przetwarzania danych osobowych, w tym jedną znaczącą. UODO poinformowało, że rozważa podjęcie działań wobec brokerów danych w efekcie skargi złożonej w listopadzie ubiegłego roku przez Privacy International i Fundację Panoptykon. Organizacje te uważają, że Acxiom, Experian i Oracle nie mają ważnej podstawy prawnej do przetwarzania danych oraz nie działają w przejrzysty sposób, przez co w praktyce użytkownicy nie mogą realizować praw, które przyznaje im RODO, np. prawa dostępu do swojego cyfrowego profilu.
Za podobne praktyki został już ukarany Google. Francuski organ ochrony danych osobowych (CNIL – Commission nationale de l’informatique et des libertés) nałożył na Google LLC karę w wysokości 50 mln euro, w związku z nieprawidłowym przetwarzaniem danych osobowych, w tym w procesie pozyskiwania zgód w zakresie spersonalizowanych reklam.
- Kara dla Google to pierwsze znaczące egzekwowanie zasad RODO, wręcz historyczne. Jest to bowiem największa w skali świata kara za naruszenie ochrony danych – uważa Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności. - CNIL wyszła poza ograniczenia do 20 mln euro. Wybrała pułap maksymalny - 4 proc obrotów za ub. rok, ale zastosowała kwotę znacznie niższą od maksymalnej możliwej, która w tym przypadku mogłaby wynieść nawet ok. 4 mld euro.
Teraz Panoptykon złożył skargę na Interactive Advertising Bureau (IAB) i Google. Fundacja ma zastrzeżenia do profilowania podczas tzw. aukcji reklamowych. Gdy użytkownik czeka na załadowanie się strony, jego dane otrzymują je firmy biorące udział w licytacji, której zwycięzca zapłaci 1/5 grosza za możliwość wyświetlenia swojej reklamy. Użytkownik nie wie, do kogo trafiają jego dane i nie jest w stanie skorzystać z praw, które daje mu RODO.
Czytaj również: Pierwsza kara dla Google za nieprzestrzeganie RODO >>
Przypadek Google pokazuje, że wysoka kara grozi nie tylko za wyciek danych, ale także stosowanie niezgodnych z prawem zaznaczonych checkboxów (redefiniowanych zgód) czy złe wykonanie obowiązku informacyjnego. Paweł Litwiński, adwokat partner w kancelarii Barta Litwiński dodaje, że tezy, które stawia CNIL, znane są w Polsce od lat. – Takie stanowisko, i taką praktykę stosował jeszcze Generalny Inspektor Ochrony Danych Osobowych, poprzednik prezesa UODO - tłumaczy Litwiński. Wkrótce zatem głośno może być nie tylko o sprawach morele.net i FreshMail.
Sprawdź w LEX SIP jak wygląda kontrola UODO:
- Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >>
- Ustalenie wyników w protokole kontroli przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
