LexDigital

Kary RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej jako: Rozporządzenie) określa przypadki, w których właściwy organ nadzorczy może nałożyć administracyjną karę pieniężną za naruszenie przepisów RODO. Dokładnie wskazując na naruszenie ochrony danych osobowych.

Kary RODO

Naruszenie przepisów RODO — co to znaczy?

Definicja naruszenia

Jak wskazuje Rozporządzenie — naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zatem, naruszenie ochrony danych występuje, gdy dane, za które odpowiada administrator, ucierpiały w wyniku incydentu zagrażającego bezpieczeństwu. Wskutek czego naruszona została poufność, dostępność lub integralność danych. Pojawia się również wtedy, gdy do naruszenia doszło przez podmioty przetwarzające dane osobowe. Najczęściej naruszenie jest związane z niedopełnieniem obowiązków wynikających z RODO.

dolary, pieniądze, waluta

Naruszenie danych osobowych może wynikać z działania lub zaniechania administratora, lub okoliczności, za które odpowiada podmiot przetwarzający. Dlatego też z punktu widzenia administratora ważne jest, aby podmiot przetwarzający był poddawany audytom i kontrolom weryfikującym bezpieczeństwo przetwarzania powierzonych danych.

Obowiązki, którym podlega podmiot przetwarzający powierzone mu dane powinna określać umowa powierzenia. Umowa powinna określać również m.in. kategorie danych osobowych, rodzaje środków technicznych i organizacyjnych, obowiązek przekazania informacji niezbędnych organowi nadzorczemu i współpracy z organem nadzorczym, przekazanie okoliczności sprawy, działania podjęte.

W przypadku zdarzenia, które dotyczyło naruszenia przepisów RODO, podmiot przetwarzający i administrator zobowiązani są do współpracy z organem nadzorczym.

O audycie podmiotów przetwarzających pisaliśmy tutaj!

safe, vault, steel door

W przypadku wystąpienia naruszenia istotne jest, aby administrator podjął działania:

  • w celu zminimalizowania szkody poniesionej przez podmioty danych;
  • zmierzające do minimalizacji jego ewentualnych negatywnych skutków;
  • minimalizujące czas trwania naruszenia;
  • ustalające charakter naruszenia z uwzględnieniem;
  • ustalające przyczyny naruszenia z uwzględnieniem okoliczności popełnionego czynu;
  • ustalające liczbę rekordów danych podmiotów, których dane dotyczą.

O minimalizacji skutków naruszenia pisaliśmy tutaj!

problem, problem solution, solution


Przykłady naruszenia ochrony danych osobowych

Poniższa lista nie wymienia wszystkich możliwych naruszeń, gdyż przedstawia jedynie pojedyncze przykłady, którymi mogą być:

  • ujawnienie danych podmiotom nieuprawnionym;
  • utrata danych;
  • zniszczenie danych;
  • zmiana danych bez uzasadnienia.

Okoliczności naruszenia

Wśród okoliczności prowadzących do naruszenia należy wskazać w szczególności:

  • cyberataki socjotechniczne;
  • niewłaściwe niszczenie/usuwanie danych;
  • niewłaściwe zabezpieczenie danych;
  • błędne przesłanie/udostępnienie danych;
  • celowe ujawnienie/zniszczenie/zmiana danych osobowych.
cyber security, information security, data privacy


Cyberataki socjotechniczne

Footprinting

Polegają na rozpoznaniu atakowanego celu (np. danej organizacji) przy pomocy:

  • zbierania porzuconych informacji i danych mogących pomóc w przygotowaniu ataku;
  • analizy danych w mediach społecznościowych — stosowane przy atakach na osoby prywatne;
  • zbieranie informacji (telefony, maile, struktura) o danej organizacji — wykorzystywane przy atakach na firmy.

Phishing

Metoda polegająca podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania), zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia ofiary do podjęcia określonych działań.

Vishing

Polega na wyłudzeniu danych w trakcie rozmowy telefonicznej. Podobnie jak w przypadku phishingu atakujący podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera lub nakłonienia ofiary do podjęcia określonych działań.

SMISHING

To atak polegający na wysłaniu fałszywej wiadomości SMS zawierającej np.  ofertę darmowego produktu lub pilne powiadomienie dot. bankowości, lub innych poufnych informacji.

RANSOMWARE

Rodzaj złośliwego oprogramowania, zaprojektowanego w celu blokowania dostępu do komputera, do momentu zapłaty określonej kwoty (okupu).

SPOOFING

Grupa ataków na systemy teleinformatyczne polegająca na podszywaniu się pod inny element systemu informatycznego. Efekt ten osiągany jest poprzez umieszczanie w sieci preparowanych pakietów danych lub niepoprawne używanie protokołów.

O cyberbezpieczeństwie pisaliśmy tutaj!

man, face, psychosis


Niewłaściwe niszczenie/usuwanie danych

Do tego typu naruszenia może dojść po stronie administratora lub podmiotu przetwarzającego dane. Mogły znaleźć się one w posiadaniu podmiotów nieuprawnionych, kiedy próbowano je bezskutecznie usunąć lub zniszczyć.

Niewłaściwe zabezpieczenie danych

W tym przypadku niewłaściwe zabezpieczenie danych może wynikać z zaniechania administratora lub podmiotu przetwarzającego, który przetwarza dane na podstawie upoważnienia administratora. Istotne jest to, że ewentualna odpowiedzialność podmiotu przetwarzającego lub administratora dokonywana jest z uwzględnieniem środków technicznych i organizacyjnych wdrożonych w danym podmiocie.

Błędne przesłanie/udostępnienie danych

Przyczyną najczęściej jest błąd ludzki polegający np. na przesłaniu drogą e-mail niezaszyfrowanego dokumentu do osób, które nie są jego odbiorcami i nie są upoważnione do przetwarzania danych zawartych w tym dokumencie.

Celowe ujawnienie/zniszczenie/zmiana danych osobowych

W tym przypadku mowa jest o działaniu z premedytacją, a więc osoba, dokonując naruszenia, podejmuje świadomie określone czynności, których skutkiem jest naruszenie ochrony danych osobowych. Dochodzi do tego poprzez ich ujawnienie, zniszczenie lub zmianę.

Uprawnienia Prezesa Urzędu Ochrony Danych Osobowych

control, writing, work

Czym jest Urząd Ochrony Danych Osobowych?

UODO jest to urząd powołany do wparcia Prezesa w wykonywaniu ustawowych obowiązków, w tym m.in. do prowadzenia postępowań oraz nakładania i ustalania administracyjnych kar pieniężnych.

manager, person, people


Prezes Urzędu Ochrony Danych Osobowych

Prezesem Urzędu Ochrony Danych jest polski organ nadzorczy, działający na podstawie Rozporządzenia oraz ustawy o ochronie danych osobowych. Prezes Urzędu stanowi stronę postępowania administracyjnego prowadzonego w przypadku np. zgłoszenia naruszenia. Od momentu rozpoczęcia obowiązywania RODO Prezes UODO nałożył już kary pieniężne na kilkadziesiąt podmiotów.

Zgodnie z ustawą o ochronie danych osobowych:

  • Prezesa Urzędu powołuje i odwołuje Sejm za zgodą Senatu;
  • Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko ustawie;
  • kadencja Prezesa Urzędu trwa 4 lata;
  • ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje;
  • Prezes Urzędu może powołać do trzech zastępców;
  • Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych .

O administracyjnej karze pieniężnej i jej wysokości również decyduje Prezes Urzędu Ochrony Danych Osobowych. Bierze pod uwagę okoliczności naruszenia i wynika postępowania wyjaśniającego, które prowadzone jest przez urzędników Urzędu Ochrony Danych Osobowych.

percent, language, communication


Wysokość kary RODO — ile to procent na tle całkowitego rocznego światowego obrotu?

Wysokość możliwej kary RODO (kary finansowe) reguluje art. 83 Rozporządzenia. Zgodnie z tym przepisem wysokość kary może wynosić do 10 mln lub do 20 mln EUR, a w przypadku przedsiębiorstwa — do 2% lub 4% całkowitego rocznego światowego obrotu.

Kara do 10 mln lub w przypadku przedsiębiorstwa do 2% całkowitego rocznego światowego obrotu może zostać nałożona przez organ nadzorczy za naruszenie przepisów m.in. w zakresie:

  • obowiązku prowadzenia rejestru czynności lub rejestru kategorii czynności,
  • obowiązku współpracy z organem nadzorczym,
  •  obowiązku zapewnienia bezpieczeństwa przetwarzania,
  • obowiązku zgłoszenia naruszenia ochrony danych do organu nadzorczego,
  • obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych,
  • obowiązku uwzględniania zasady privacy by design i privacy by default,
  • obowiązków i zasad wynikających z współadministrowania,
  • obowiązków administratora oraz podmiotu przetwarzającego związanych z powierzeniem przetwarzania,
  • przetwarzania danych bez właściwych upoważnień (nadanych przez administratora lub podmiot przetwarzający),
  • obowiązku dokonania oceny skutków dla ochrony danych,
  • obowiązku powołania IOD.

Kara do 20 mln lub w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu może zostać nałożona przez organ nadzorczy za naruszenie przepisów w zakresie:

  • podstawowych zasad przetwarzania,
  • przestrzegania warunków zgody (art. 5 6 7 i 9 RODO),
  • przestrzegania obowiązków właściwego informowania i komunikacji,
  • przestrzegania obowiązków informacyjnych w przypadku pierwotnego i wtórnego zbierania danych zgodnie (art. 13 i 14 RODO),
  • zasad transferów danych poza EOG,
  • przestrzegania praw przysługujących osobie, której dane dotyczą (prawo do sprostowania danych, prawo do dostępu do danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do złożenia sprzeciwu, prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji).

megaphone, speaker, speak

Jak nakładane są kary RODO?

Kary nakładane są przez Prezesa Urzędu Ochrony Danych. Kary pieniężne nakładane są w drodze decyzji administracyjnej oraz po przeprowadzeniu postępowania administracyjnego. Przy ustalaniu wysokości kary pieniężnej organ nadzorczy bierze pod uwagę m.in.:

  • współpracę administratora z PUODO;
  • kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO;
  • stopień odpowiedzialności administratora danych — czyli w jakim zakresie administrator przyczynił się do naruszenia;
  • działania podjęte w celu zminimalizowania szkody poniesionej przez podmioty, których dane dotyczą;
  • brak weryfikacji podmiotu przetwarzającego — jeśli naruszenie związane jest z podmiotem przetwarzającym;
  • czas trwania naruszenia;
  • ewentualne naruszenie wolności osób fizycznych;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • zadeklarowanie stosowania naprawczych środków technicznych i organizacyjnych;
  • działań administratora podjętych w celu usunięcia naruszenia.

Od decyzji o administracyjnej karze pieniężnej administratorowi przysługuje odwołanie do sądu administracyjnego. Sąd wówczas bada czy organ nadzorczy nie naruszył przepisów procesowych oraz, czy zostały naruszone przepisy RODO.

Co zrobić, aby uniknąć kar? Jak się zachować w przypadku naruszenia bezpieczeństwa danych osobowych?

Aby uniknąć kar finansowych należy w pierwszej kolejności dążyć do uniknięcia wystąpienia naruszenia przepisów o ochronie danych osobowych, poprzez np. wdrożenie odpowiednich środków technicznych i organizacyjnych, kontroli podmiotów przetwarzających, stosowanie zatwierdzonych kodeksów postępowania, wdrożenia zadeklarowanych wcześniej środków naprawczych, właściwego doboru podmiotu przetwarzającego, wprowadzenia przepisów wewnętrznych.

Po wystąpieniu naruszenia istotne jest czy dokonaliśmy notyfikacji naruszenia do organu nadzorczego w określonym czasie oraz, czy organ nadzorczy dowiedział się o naruszeniu od administratora czy w jakiś inny sposób.

Poza nałożeniem kar finansowych do kompetencji organu nadzorczego należy również udzielenie upomnienia, jednakże jest to uzależnione od okoliczności sprawy.

Ogólne warunki nakładania administracyjnych kar pieniężnych

Zgodnie z Rozporządzeniem administracyjne kary pieniężne powinny być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

Nakłada się je zależnie od okoliczności każdego indywidualnego przypadku. Nakładając administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdej jednostkowej sytuacji należytą uwagę na m.in. łagodzące czynniki mające zastosowanie do okoliczności sprawy. Takimi przypadkami mogą być: osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe, lub uniknięte straty.

money, finance, mortgage


Odroczenie płatności bądź rozłożenie kary pieniężnej

Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy. Może to uczynić w przypadku, w którym ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia, lub jeżeli rata nie została uiszczona w terminie.

euro, coins, currency


Największe kary RODO w Polsce i Europie

Najwyższa kara nałożona przez PUODO wynosi 1 mln euro i została nałożona na Fortum Marketing and Sales Polska S.A. decyzją z dnia 19.01.2022 r. Firma w kwietniu 2020 roku zgłosiła PUODO naruszenie, które dotyczyło nowoutworzonej bazy danych, zawierającej dane osobowe klientów spółki, w tym m.in.: imiona i nazwiska, adresy zamieszkania, nr PESEL, nr dokumentów tożsamości, adresy poboru,  numery telefonów.

Innymi znaczącymi karami były kary nałożone na:

  • Santander Bank Polska S. A. - 117 tys. euro,
  • Cyfrowy Polsat S.A. - 245 tys. euro,
  • ID Finance Poland Sp. z o.o. - 235 tys. euro,
  • Virgin Mobile Polska - 443 tys. euro,
  • Morele.net - 660 tys. euro.

W innych krajach europejskich kary za naruszenie danych są zdecydowanie wyższe — prym wiedzie Irlandia, poniżej wskazane zostały wybrane kary:

  • Meta Platforms - 1,2 mld euro (Irlandia),
  • Amazon Europa Core - 746 mln euro (Luksemburg),
  • Meta Platforms - 405 mln euro (Irlandia),
  • Meta Platforms - 265 mln euro (Irlandia),
  • WhatsUp Ireland - 225 mln euro (Irlandia),
  • Google - 90 mln euro (Francja).

Chroniąc swoją firmę przed ogromnymi karami finansowymi nakładanymi z powodu nieprzestrzegania rozporządzenia RODO, należy przede wszystkim pamiętać o zabezpieczeniu danych osobowych w należyty sposób.

Polecane

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Sztuczna inteligencja (AI) coraz częściej stanowi ważny czynnik wspierania procesów biznesowych organizacji. Jest wykorzystywana na masową skalę i nie jest już zarezerwowana jakiemuś szczególnemu sektorowi działalności. Opracowywane prognozy plasują AI jako jeden z głównych czynników, który ma napędzać gospodarki przyszłości.

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk