Wszyscy wiemy, że RODO nakłada na administratora (który wie, jakie dane gromadzi, w jakim celu i komu je udostępnia) obowiązek wdrożenia takich zabezpieczeń – organizacyjnych i technicznych, które zapewnią odpowiedni poziom ochrony informacji. Co istotne, do UODO firmy i organizacje w ciągu 72 godz. muszą raportować każdy wyciek, zniszczenie bądź nieautoryzowane naruszenie danych osobowych, które może rodzić ryzyko naruszenia praw osób fizycznych.
Najczęściej jednak mówienie o RODO obywa się w kontekście kar, które ustawodawca przewidział jako straszak. I teraz straszak wypalił. 21 stycznia francuski urząd ochrony danych – CNIL – nałożył karę w wysokości 50 mln euro na firmę Google. To najwyższa jak dotąd kara finansowa nałożona na podstawie GDPR/RODO. CNIL uznał, że Google nie informuje użytkowników przejrzyście i nie uzyskuje zgód na przetwarzanie danych w odpowiedni sposób.
A jak to wygląda w Polsce?
Od siedmiu miesięcy stosowania RODO (od 25 maja ub.r.) oczekiwaliśmy, że kary są nieuchronne także w Polsce. Zwłaszcza, że Urząd Ochrony Danych Osobowych otrzymał ponad 10 tys. skarg, pytań i zgłoszeń. W tym jest ponad 3 tys. skarg w związku z nieprawidłowym przetwarzaniem danych osobowych. Prezes UODO zapowiada, że wkrótce można spodziewać się pierwszych kar finansowych.
– Prowadzonych jest bardzo wiele postępowań. Kary z pewnością wkrótce się pojawią. Powinny być dotkliwe, jak wymaga tego samo rozporządzenie – stwierdza prezes UODO, Edyta Bielak-Jomaa.
W zależności od stwierdzonych naruszeń UODO będzie wydawał nakazy przywrócenia stanu zgodnego z prawem albo nakładał kary finansowe.
Podmiotom, które nie stosują się do nowych przepisów, grożą grzywny sięgające 20 mln euro albo 4 proc. rocznych globalnych obrotów przedsiębiorstwa. Prezes UODO – jako organ nadzorczy – będzie decydować o ich wysokości.
Szefowa urzędu przyznaje jednocześnie, że wiele skarg ma braki formalne, a UODO aby rozpatrzyć sprawę musi najpierw wzywać do usunięcia tych braków. W niektórych przypadkach skargi okazują się bezzasadne. W wielu sprawach, zwłaszcza tych bardziej skomplikowanych, UODO wciąż prowadzi postępowania.
– Największy problem jest związany z koniecznością całkiem nowego spojrzenia na system ochrony danych osobowych. Rozporządzenie nie zawiera gotowych wskazówek ani rozwiązań, które mogłyby być przyjęte u każdego z administratorów. Mają oni problem z prawidłowym poukładaniem procesów przetwarzania danych – przyznaje Edyta Bielak-Jomaa.
Przypomnijmy za co zostało ukarane Google. Po analizie dokumentów i inspekcji online Francuski urząd zwrócił uwagę na:
1. Kategoria – niejasna informacja o procesie przetwarzania danych:
- Informacje o przetwarzaniu danych nie były przedstawione przejrzyście.
- Rozbito informacje na różne dokumenty i użytkownik może mieć problem z ustaleniem np. czasu przetwarzania danych lub kategorii danych użytych do personalizacji.
- Aby dotrzeć do wymaganej informacji użytkownik musi wykonać kilka czynności, nawet 5 lub 6.
- Część informacji nie jest ani jasna, ani wyczerpująca.
- Cele przetwarzania danych opisano w sposób “zbyt ogólny i niejasny”.
- Dla niektórych danych w ogóle nie podano informacji o czasie przetrzymywania. W niektórych przypadkach użytkownik może nie mieć pewności czy dane są przetwarzane na podstawie zgody czy na podstawie uzasadnionego interesu dostawcy usługi.
2. Kategoria – zastrzeżenia co do ważności zgód uzyskiwanych przez Google:
- Zgoda powinna być wyrażana przez osobę odpowiednio poinformowaną. Łamane jest to np. w rozdziale o personalizacji reklam. Google wcale nie dąży do uświadomienia ludziom jak wielu usług to dotyczy.
- Udzielone zgody nie są jednoznaczne. Użytkownicy zgadzali się ogólnie na warunki Google i Politykę Prywatności, ale RODO wymaga osobnej zgody dla każdego celu przetwarzania.
Wreszcie CNIL podkreślił, że naruszenie nie miało charakteru jednorazowego. Oczywiście wzięto to pod uwagę przy określaniu wysokości kary.