KARA ZA NARUSZENIE PRZEPISÓW RODO - Magdalena Anna Bernacka

Najwięcej naruszeń zgłoszono w Niemczech (było ich 106 731),
Najwyższą karę w wysokości 746 mln euro nałożył urząd ochrony danych z Luksemburga, kolejne zostały nałożone przez organy ochrony danych osobowych z Irlandii (225 mln euro) i Francji (50 mln euro),
Krajowy Urząd Ochrony Danych Osobowych wymierzył kary o łącznej wartości 2,2 mln.

Początek roku to czas podsumowań, które nie mogą ominąć również dziedziny ochrony danych osobowych. Organizacjom i podmiotom zainteresowanym tematyką prywatności pragniemy zaprezentować wyniki raportu dotyczącego stosowania RODO „DLA Piper GDPR fines and data breach survey: January 2022. A report produced by DLA Piper’s cybersecurity and data protection team”, który po raz trzeci przygotowała międzynarodowa firma prawnicza DLA Piper. To dobra okazja na podsumowanie tego, jak z perspektywy naruszeń i kar nałożonych w ciągu ostatnich 12 miesięcy działają przepisy RODO w poszczególnych krajach Unii Europejskiej. Data publikacji raportu jest nieprzypadkowa, bo 28 stycznia obchodzony jest Międzynarodowy Dzień Ochrony Danych Osobowych.

Raport zawiera analizę zgłaszanych naruszeń dotyczących RODO oraz dane statystyczne odnoszące się do wymierzonych kar przez organy nadzorcze w poszczególnych krajach członkowskich. Badanie obejmuje 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Lichtenstein.

Ile zgłoszeń wpłynęło do europejskich organów nadzoru?

Od 28 stycznia 2020 r. do 27 stycznia 2022 r. zgłoszono do europejskich organów ochrony danych osobowych 121 165 naruszeń. Oznacza to, że każdego dnia odnotowano 278 naruszeń. Dla porównania w 2019 r. do organów regulacyjnych wpłynęło 101 403 skarg, a liczba zgłoszonych naruszeń RODO wzrosła o 19 proc w stosunku do poprzedniego okresu badawczego.

Kto odnotował najwięcej zgłoszeń w okresie od 25 maja 2018 r. do stycznia 2022 r.? W tej klasyfikacji pierwsze miejsce zajmują Niemcy – 40 111 tysiąca zgłoszeń, drugie miejsce Holandia – 25 880 tysiąca zgłoszeń, a trzecie miejsce należy do Danii – 9 132 zgłoszeń. W tym czasie polski urząd ochrony danych osobowych odnotował 8 635 przypadków zgłoszeń naruszeń zajmując – 6 miejsce pośród 27 krajów UE.

Dane dotyczące kar związanych z naruszeniem RODO

Z raportu DLA Piper wynika, że w Unii Europejskiej siedmiokrotnie wzrasta liczba kar wymierzona przez organy nadzorcze.
Kto wymierzył w okresie od 25 maja 2018 r. do stycznia 2022 najwięcej kar w ujęciu ilościowym? Na pierwszym miejscu zestawienia znajduje się włoski organ ochrony danych (Garante per la protezione dei dati personali) z kwotą grzywn w wysokości – 69,3 mln euro, na drugim miejscu plasuje się niemiecki organ (Bundesbeauftragten für den Datenschutz und die Informationsfreiheit BfDI) – 69 mln euro, a na trzecim miejscu francuski organ regulacyjny (Commission Nationale de I’Informatique et des Libertes ) z sumą 54,4 mln euro. Całkowita kwota kar nałożonych przez krajowy Urząd Ochrony Danych Osobowych wyniosła około 2 mln euro, a Polska zajmuje 13 miejsce w zestawieniu.

Rekordowe kary za naruszenie prywatności

Najwyższa kara z tytułu naruszenia RODO została nałożona w Luksemburgu przez National Commission for Data Protection. Rekordowa kara 746 mln EUR została nałożona na amerykańskiego giganta Amazon za niezgodne z prawem targetowanie reklam. Druga pod względem wysokości kara została nałożona przez irlandzki organ ochrony danych osobowych (Data Protecion Commission) na WhatsApp – internetowy komunikator należący do firmy Facebook – za nieprzestrzeganie RODO. Trzecia najwyższa w historii kara za złamanie przepisów RODO została nałożona we Francji (Commission Nationale de I’Informatique et des Libertes) na innego internetowego giganta Google, który został ukarany za niewłaściwy sposób przetwarzania danych osobowych.

Co z tego wynika?

W raporcie międzynarodowej firmy prawniczej znajdziemy też odpowiedź na pytanie, dlaczego w krajach Europy Zachodniej organy nadzoru zasądzają dużo wyższe kary z tytułu naruszenia RODO. Przypomnijmy, że kara za złamanie przepisów ogólnego rozporządzenia o ochronie danych osobowych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok. Eksperci przypominają, że lepiej rozwinięte gospodarczo kraje Europy Zachodniej mają więcej powiązań gospodarczych i przetwarzają na znacznie większą skalę dane osobowe m.in w branżach e-commerce czy sektorze przedsiębiorstw. Natomiast w Luksemburgu czy w Irlandii mają siedzibę międzynarodowe koncerny, w tym internetowi giganci jak Facebook czy Google.
Eksperci z Globalnego Zespołu Ochrony Danych Osobowych firmy Piper zwracają również uwagę na znaczący wzrost kar pieniężnych wymierzanych za naruszenie RODO. W ocenie prawników wzrost sankcji za złamanie przepisów dotyczących prywatności może być szczególnie dotkliwy dla firm z branży e-commerce i prowadzących działalność online. Problemem, z którym z pewnością zetkną się podmioty prowadzące działalność gospodarczą w Europie jest transfer danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego, w następstwie wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”.
Wyrok europejskiego trybunału nakłada na firmy, transferujące dane osobowe poza strefę Europejskiego Obszaru Gospodarczego, obowiązek mapowania transferów oraz dokonanie szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych. Zdaniem autorów raportu, orzeczenie TSUE w sprawie Schrems II zwiększa ryzyko kar i ryzyko roszczeń odszkodowawczych. Może się też wiązać z koniecznością zawieszenia transferu. Eksperci prognozują, że w opisywanej sytuacji może nawet dojść do naruszenia ciągłości prowadzenia działalności gospodarczej lub zakłócenia świadczenia usług w tym zakresie.
Ze względu na światową pandemię COVID-19 i finansowe trudności wielu firm, zauważalna jest tendencja organów nadzoru ochrony danych osobowych do orzekania w głośnych sprawach nieco niższych, niż pierwotnie prognozowanych, kar np. kara brytyjskiego organu ochrony danych osobowych dla linii lotniczych British Airlines za wyciek danych 500 tys. klientów. została obniżona z 183 milionów funtów do 20 mln.

Więcej:

Komentarz Ewy Kurowskiej-Tober, partner w polskim oddziale DLA Piper i współkierująca globalną Grupą Ochrony Danych, Prywatności i Bezpieczeństwa DLA Piper, dostępny na oficjalnej stronie internetowej firmy Piper
https://www.dlapiper.com/pl/poland/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/
https://www.all-about-security.de/wp-content/uploads/2022/01/Data-Breach-Report-2022.
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers.

Brakuje Ci praktycznej wiedzy z zakresu ochrony danych osobowych? Chcesz przygotować się do kontroli ze strony Urzędu Ochrony Danych Osobowych lub potrzebujesz przygotować odpowiedź na pismo organu nadzorczego? Zapraszamy do kontaktu: biuro@ochronadanych-rodo.pl.

Jak wysyłać seryjną korespondencję godnie z RODO?

Jakich błędów unikać przy wysyłce korespondencji w formie elektronicznej do klientów czy kontrahentów, aby nie narazić się na zarzut naruszenia RODO i straty wizerunkowe?

Wysyłka poczty elektronicznej jest doskonałym sposobem na szybkie rozpowszechnianie informacji lub treści marketingowych. Trzeba jednak zachować ostrożność, aby nie zdarzyła się kompromitująca wpadka lub nie postawiono firmie zarzutu naruszenia przepisów RODO.

Do naruszeń ochrony danych osobowych związanych z błędami w wysyłce firmowych e-maili dochodzi z błahych powodów, przeważnie przez pośpiech lub nieuwagę nadawcy korespondencji lub na skutek błędu pracownika administratora danych odpowiedzialnego za przygotowanie i wysyłkę korespondencji. Źródło nieprawidłowości może powstać również na etapie gromadzenia danych, gdzie potencjalny odbiorca nieprawidłowo wskazywał swój adres korespondencyjny. W efekcie dochodzi do ujawnienia przypadkowym odbiorcom danych adresata wiadomości lub udostępnienia danych nieuprawnionemu odbiorcy. Konsekwencją takiego naruszenia bezpieczeństwa w zależności od jego wagi jest:

Ze Sprawozdania Prezesa Urzędu Ochrony Danych Osobowych za 2020 r. wynika, że wśród najczęściej zgłaszanych naruszeń należą incydenty bezpieczeństwa związane z wysyłaniem korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy. Taka tendencja utrzymuje się od dobrych kilku lat.

• wpis do rejestru naruszeń,
• zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych.

Adres e-mail jako dana osobowa?

Zgodnie z art. 4 pkt 1 RODO adres e-mail może stanowić daną osobową, gdy prowadzi do identyfikacji danej osoby fizycznej. Łatwo będzie ustalić tożsamość konkretnej osoby fizycznej, której adres poczty elektronicznej składa się z imienia i nazwiska, przykładowo: annakowalska@poczta.pl lub akowalska@poczta.pl. Imienny adres e-mail zawierający „dane zwykłe” jakimi są nasze personalia powinien być przetwarzany zgodnie z przesłankami wskazanymi w art. 6 ust. 1 RODO np. potrzebujemy zgody na przesłanie wiadomości na wskazany adres.

Stanowiska organów nadzoru ochrony danych osobowych

Warto prześledzić, jak w kwestii incydentów bezpieczeństwa związanych z wysyłką poczty elektronicznej wypowiadają się organy nadzorcze poszczególnych krajów członkowskich. Taka sprawa pojawiła się również w polskim urzędzie ochrony danych osobowych.
W minionym roku Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Wszystko za sprawą podania przez klienta nieprawidłowego adresu e-mail. Przewinienie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata, który poinformował UODO o naruszeniu. W dokumencie znalazły się takie dane osobowe, jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dot. przedmiotu ubezpieczenia jakim był samochód osobowy. Spółka nie zgłosiła naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych oraz nie zawiadomiła osób, których dotyczyło naruszenie.
W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. W ocenie Prezesa UODO administrator powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i wprowadzić dodatkowe środki organizacyjne oraz techniczne, jak np. weryfikacja podanego adresu lub też szyfrowanie przesłanych w ten sposób dokumentów.
Organ nadzorczy podkreślił, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej omyłkowo korespondencji nie może stanowić o tym, że ryzyko praw i wolności osób fizycznych, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał kserokopii dokumentów lub w inny sposób ich nie utrwalił.
Prezes UODO nakładając karę podkreślił, że sama prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
A jakie stanowisko w kwestii omyłkowego przesłania maila do złego adresata zajmują europejskie organy nadzorcze? Przykładowo islandzki organ nadzorczy stwierdził niezgodność z przepisami o ochronie danych osobowych sprawy związanej z ujawnieniem adresów e-mail odbiorców wiadomości pozostałym adresatom w wyniku umieszczenia ich adresów w kopii widocznej zamiast w ukrytej. Organ nadzorczy w związku z zaistniałym incydentem nie nałożył kary pieniężnej tylko dlatego, że administrator szybko podjął działania w celu ochrony praw podmiotów danych np. zainteresowani zostali niezwłocznie powiadomieni o zmianie procedur wewnętrznych mających zapobiec wystąpieniu takich incydentów w przyszłości.

Stanowiska organów nadzoru ochrony danych osobowych

Jak poprawnie wysłać maila do wielu odbiorców, aby nie narazić się na zarzut naruszenia RODO?

Można uniknąć problemów pamiętając o kilku prostych zasadach związanych z obsługą poczty elektronicznej. Wysyłając e-mail firmowy do klientów warto użyć funkcji UDW (Ukryte do Wiadomości). Jest to bezpieczna forma wysyłki korespondencji seryjnej, ponieważ odbiorca nie może zobaczyć innych odbiorców.

Inne środki techniczne i organizacyjne ochrony korespondencji, które można wdrożyć w firmie

Administratorzy danych, aby zmniejszyć prawdopodobieństwo wystąpienia naruszeń związanych z przesłaniem informacji lub dokumentów omyłkowemu adresatowi, mogą wdrożyć środki bezpieczeństwa w postaci:

szyfrowania przesyłanej korespondencji, uniemożliwiając dostęp do danych osobom nieuprawnionym,
stosować dodatkową weryfikację adresu korespondencyjnego w momencie gromadzenia danych, polegającą m.in. na konieczności przeliterowania adresu (w przypadku gromadzenia danych przez telefon) lub poprzez wymuszenie ponownego wpisania adresu e-mail w formularzach.

Podsumowanie

Jeżeli w firmie zdarzają się przypadki błędnie wysłanych e-maili to jest wiele prostych i skutecznych środków, które pozwolą uniknąć takich pomyłek w przyszłości. Do wdrożenia czego serdecznie zachęcamy.

Źródła:

• Opublikowane w dniu 26 sierpnia 2021 r. Sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych z działalności w 2020 r. i dostępne na oficjalnej stronie organu (str. 141-142),
• Decyzja Prezesa UODO z dnia 9.12.2020 r., nr DKN.5131.5.2020 w sprawie TUiR WARTA S.A. (więcej: https://uodo.gov.pl/decyzje/DKN.5131.5.2020).

Tag: KARA ZA NARUSZENIE PRZEPISÓW RODO

Naruszenie RODO na terenie Unii Europejskiej kosztuje coraz więcej

Błędy w wysyłce e-mail powodem naruszenia RODO.

Jakich błędów unikać przy wysyłce korespondencji w formie elektronicznej do klientów czy kontrahentów, aby nie narazić się na zarzut naruszenia RODO i straty wizerunkowe?