Kary pieniężne za przetwarzanie danych osobowych niezgodnie z przepisami RODO to już nie tylko teoria. Niektóre unijne organy nadzorcze wydały pierwsze decyzje skierowane przeciwko podmiotom, które uchybiły nowym standardom. I nie są to wcale niskie kwoty.

Portugalski organ nadzorczy nałożył niedawno karę na szpital w wysokości 400.000 EUR, czyli około 1,7 mln złotych za brak właściwej ochrony danych pacjentów. Uchybienia polegały m.in. na niestosowaniu odpowiednich środków organizacyjnych i technicznych w celu ograniczenia dostępu do tych danych wśród personelu szpitala. W efekcie tych zaniedbań, dostęp do danych pacjentów mogły uzyskiwać osoby nieuprawnione.

Organ ustalił również, że szpital nie dokonywał weryfikacji, czy konta byłych pracowników zostały usunięte z systemu informatycznego. Argument w postaci ograniczeń funkcjonalnych stosowanego oprogramowania został przez kontrolerów odrzucony.

Powyższy stan zakwalifikowano jako uchybienie administratora danych, ponieważ po zakończeniu stosunku pracy / umowy, do której wykonania niezbędny był dostęp do danych osobowych przetwarzanych w organizacji, dostęp ten powinien być przez administratora zablokowany. Upoważnienie do przetwarzania danych co do zasady nie powinno obowiązywać dłużej niż czas trwania umowy, do wykonania której zostało udzielone.

Naruszenia wskazane przez portugalski urząd ochrony danych powinny zainteresować podmioty lecznicze działające w naszym kraju, z których wiele ma obecnie status spółek prawa handlowego. Mogą one podlegać pełnej odpowiedzialności z RODO. Właściwe zabezpieczenie danych medycznych w szpitalach powinno być traktowane z należytą uwagą, ponieważ są to dane podlegające szczególnej ochronie. Ich wyciek lub nielegalne ujawnienie może narazić pacjenta na poważne naruszenie jego prywatności, a także szkodę materialną i krzywdę.

Z kolei 21 stycznia br. francuski urząd ochrony danych osobowych, CNIL, nałożył najwyższą jak do tej pory karę pod rządami RODO – w wysokości 50 000 000 EUR – na firmę Google.

O ile maksymalny próg kwotowy kary pieniężnej w RODO wynosi 20 000 000 EUR, o tyle organ nadzorczy jest uprawniony na nałożenia kary wyższej na przedsiębiorstwo, maksymalnie do wysokości odpowiednio 2 lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od rodzaju naruszenia. Z tej możliwości skorzystał CNIL i jest to pierwszy taki przypadek w Europie od momentu rozpoczęcia stosowania RODO.

Tak wysoka kara została nałożona na amerykańskiego giganta w wyniku skarg, które zostały złożone zaraz po rozpoczęciu stosowania RODO. Firmie zarzucono m.in. brak wystarczającej przejrzystości w informowaniu o przetwarzaniu danych osobowych, „porozrzucanie” ważnych informacji w wielu różnych miejscach, co utrudnia dotarcie do nich przez użytkowników, a także oraz opisanie celów przetwarzania danych osobowych w sposób „zbyt ogólny i niejasny”. CNIL stwierdził również, że zgody udzielanie przez użytkowników nie były jednoznaczne.

Powyższe przykłady przekonują, że europejskie organy ochrony danych nie boją się nakładać kar pieniężnych za stwierdzone uchybienia w stosowaniu RODO. Jest to sygnał także dla polskich firm, że brak właściwej ochrony danych osobowych i przestrzeganie nowych przepisów o ochronie danych osobowych w dłuższej perspektywie po prostu się nie opłaci.

W dniu 24.01.2019 r. Prezes Urzędu Ochrony Danych Osobowych opublikował zatwierdzony roczny plan kontroli sektorowych na 2019 rok. Skontrolowane zostanie przetwarzanie danych osobowych m.in. w takich branżach jak telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym. Kontrolowane będą również szkoły, placówki oświatowe oraz podmioty udzielające świadczeń zdrowotnych.

Niezależnie od kontroli sektorowych prowadzonych zgodnie z planem kontroli, Prezes Urzędu ma prawo w każdym czasie przeprowadzić kontrolę doraźną.