Jak wynika z raportu opracowanego przez brytyjską firmę prawniczą DLA Piper, europejskie władze nałożyły kary na podmioty naruszające RODO. Łączna wartość wspomnianych kar wyniosła 114 mln euro czyli ok. 483,9 mln zł.
Czym jest RODO?
RODO (Rozporządzenie o Ochronie Danych Osobowych) to rozporządzenie Unii Europejskiej, które zawiera zarówno przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych, jak i przepisy o swobodnym przepływie danych osobowych. Opisywany dokument stanowi część pakietu UE dotyczącego reformy ochrony danych, wraz z dyrektywą o ochronie danych w obszarze policji i wymiaru sprawiedliwości. RODO zostało wprowadzone w celu zagwarantowania swobodnego przepływu danych osobowych, pomiędzy państwami będącymi członkami Unii Europejskiej. Ponadto RODO określa zasady, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terytorium Unii Europejskiej.
RODO, a kary administracyjne
RODO określa warunki nakładania administracyjnych kar pieniężnych. Mowa o dwóch przedziałach kar, którymi mogą zostać ukarani Administratorzy Danych Osobowych.
Do 10 mln euro – kara wynikająca z naruszeń związanych z m.in.:
- Niewywiązaniem się z obowiązku informacyjnego,
- Brakiem uwzględnienia ochrony danych na etapie projektowania oraz domyślnej ochrony danych,
- Niepoprawnie prowadzonym rejestrem czynności przetwarzania bądź brakiem rejestru,
- Niewłaściwym zabezpieczeniem systemów informatycznych,
- Brakiem oceny skutków dla ochrony danych,
- Brakiem powołania Inspektora Ochrony Danych.
Do 20 mln euro – kara ta nakłada jest z powodu m.in.:
- Nieprzestrzegania przez Administratora Danych Osobowych podstawowych zasad przetwarzania danych osobowych (również niedopilnowania warunków pozyskania zgody),
- Łamania praw osób, których dotyczą dane osobowe,
- Niewłaściwego przekazywania danych osobowych odbiorcom w państwach trzecich bądź też organizacjach międzynarodowych.
Osoba poszkodowana z powodu naruszenia postanowień RODO ma prawo wystąpić do Administratora Danych Osobowych z roszczeniem o odszkodowanie w związku z poniesioną szkodą. Jeśli jednak Administrator dowiedzie, że nie ponosi winy za sytuację która spowodowała szkodę, wówczas może on zostać zwolniony z odpowiedzialności.
RODO po ponad roku
Regulacja RODO weszła w życie 25 maja 2018 roku. W związku z powyższym brytyjska firma DLA Piper podjęła się przygotowania raportu podsumowującego. Na skutek wdrożenia opisywanego rozporządzenia w Unii Europejskiej, na różnego typu firmy nałożone zostały kary o łącznej wartości 114 mln EUR czyli 483,9 mln zł. Jak wynika z raportu, odnotowanych zostało ok. 160 000 przypadków naruszenia danych osobowych, przy czym większość z nich pochodziła z Wielkiej Brytanii, Niemiec lub Holandii. Dodatkowo w roku 2019 zanotowano wzrost liczby naruszeń o 12,6% w porównaniu z pierwszymi ośmioma miesiącami od chwili wprowadzenia RODO.
Najwyższa, zasądzona jak do tej pory kara wyniosła 20 mln euro. Sankcja została nałożona na firmę Google we Francji z powodu braku przejrzystości serwisu. Biorąc pod uwagę fakt, że firma matka Google – czyli Alphabet – wyceniona została na 1 bln USD, nałożona kara wydaje się kroplą w morzu dochodów. Warto dodać, że opisywany raport DLA Piper nie uwzględnia proponowanej kary w wysokości 183 mln GBP. Takowa miałaby zostać nałożona na IAG, właściciela British Airways w Wielkiej Brytanii. Jeśli zamierzenie dojdzie do skutku, wówczas IAG stanie się rekordzistą.
Jak podkreślają eksperci, mimo początkowych kontrowersji związanych z wprowadzeniem RODO, rozporządzenie stało się swego rodzaju wzorem dla pozostałej części świata w zakresie regulacji niekontrolowanego przepływ danych personalnych. Naturalnie RODO stało się także skutecznym sposobem karania firm za naruszanie chronionych danych osobowych.
Jak uniknąć kary?
Jak wspominaliśmy, RODO pozwala na nakładanie kary pieniężnej w wysokości do 4% globalnego rocznego przychodu danego przedsiębiorstwa. W związku z powyższym warto zabezpieczyć się przed nadmienioną ewentualnością. Pomocne w tym mogą być Audyt RODO oraz program Hogart RODO.
Audyt RODO
Audyt RODO to usługa doradztwa w zakresie audytu dokumentacji zawierającej dane osobowe, pod kątem zgodności z przepisami prawa powszechnie obowiązującego oraz rozporządzenia RODO.
Audyt RODO obejmuje:
- Opracowanie/aktualizację i wdrożenie dokumentacji przetwarzania danych osobowych,
- Audyt bezpieczeństwa informacji zgodnie z ISO 27001 oraz opracowanie procedur ochrony danych osobowych i zasobów informacyjnych,
- Zgłoszenie zbiorów danych do rejestrów GIODO,
- Szkolenie pracowników firmy przeprowadzane w dniu audytu,
- Weryfikację i kontrolę poprawności dokumentacji Polityki Bezpieczeństwa Informacji
- Analizę ryzyka w procesach przetwarzania danych osobowych,
- Dostosowanie dokumentacji,
- 2 miesięczne bezpłatne wsparcie merytoryczne z zakresu wdrożenia i eksploatacji RODO.
Więcej informacji o audycie znajdziesz na stronie: https://www.hba.hogart.com.pl/audyt-rodo/
Aplikacja RODO
Program Hogart RODO złożony jest z dwóch modułów:
- modułu głównego RODO
- modułu rejestracji źródeł danych osobowych
Moduł Główny RODO
Moduł główny RODO stworzony został w celu wsparcia podmiotu podlegającego obowiązkowi ochrony danych osobowych w rozumieniu RODO w zakresie jednolitego i prostego zarządzania:
- Obszarami i zasobami danych osobowych,
- Czynnościami i kategoriami czynności przetwarzania,
- Upoważnieniami pracowników do przetwarzania danych osobowych,
- Rejestrem incydentów i naruszeń,
- Umowami powierzenia,
- Audytami,
- Zgłoszeniami żądań usunięcia i przekazania danych osobowych.
Moduł rejestracji źródeł danych osobowych
Moduł stworzony został w celu prowadzenia rejestru występowania danych osobowych w różnych źródłach danych. Umożliwia to szybkie wyszukanie wspomnianych źródeł w przypadku, gdy pracownik zwróci się o wskazanie, przekazanie lub usunięcie wszystkich jego danych osobowych.
Więcej informacji o programie RODO Hogart znajdziesz na stronie: https://www.hba.hogart.com.pl/aplikacja-rodo/