RODO (GDPR) – kara dla Google. Kiedy kary w Polsce?

A jak to wygląda w Polsce?

Od siedmiu miesięcy stosowania RODO (od 25 maja ub.r.) oczekiwaliśmy, że kary są nieuchronne także w Polsce. Zwłaszcza, że Urząd Ochrony Danych Osobowych otrzymał ponad 10 tys. skarg, pytań i zgłoszeń. W tym jest ponad 3 tys. skarg w związku z nieprawidłowym przetwarzaniem danych osobowych. Prezes UODO zapowiada, że wkrótce można spodziewać się pierwszych kar finansowych.

– Prowadzonych jest bardzo wiele postępowań. Kary z pewnością wkrótce się pojawią. Powinny być dotkliwe, jak wymaga tego samo rozporządzenie – stwierdza prezes UODO, Edyta Bielak-Jomaa.

W zależności od stwierdzonych naruszeń UODO będzie wydawał nakazy przywrócenia stanu zgodnego z prawem albo nakładał kary finansowe. Podmiotom, które nie stosują się do nowych przepisów, grożą grzywny sięgające 20 mln euro albo 4 proc. rocznych globalnych obrotów przedsiębiorstwa. Prezes UODO – jako organ nadzorczy – będzie decydować o ich wysokości.

Szefowa urzędu przyznaje jednocześnie, że wiele skarg ma braki formalne, a UODO aby rozpatrzyć sprawę musi najpierw wzywać do usunięcia tych braków. W niektórych przypadkach skargi okazują się bezzasadne. W wielu sprawach, zwłaszcza tych bardziej skomplikowanych, UODO wciąż prowadzi postępowania.

– Największy problem jest związany z koniecznością całkiem nowego spojrzenia na system ochrony danych osobowych. Rozporządzenie nie zawiera gotowych wskazówek ani rozwiązań, które mogłyby być przyjęte u każdego z administratorów. Mają oni problem z prawidłowym poukładaniem procesów przetwarzania danych – przyznaje Edyta Bielak-Jomaa.

Przypomnijmy za co zostało ukarane Google. Po analizie dokumentów i inspekcji online Francuski urząd zwrócił uwagę na:

1. Kategoria – niejasna informacja o procesie przetwarzania danych:

• Informacje o przetwarzaniu danych nie były przedstawione przejrzyście.
• Rozbito informacje na różne dokumenty i użytkownik może mieć problem z ustaleniem np. czasu przetwarzania danych lub kategorii danych użytych do personalizacji.
• Aby dotrzeć do wymaganej informacji użytkownik musi wykonać kilka czynności, nawet 5 lub 6.
• Część informacji nie jest ani jasna, ani wyczerpująca.
• Cele przetwarzania danych opisano w sposób “zbyt ogólny i niejasny”.
• Dla niektórych danych w ogóle nie podano informacji o czasie przetrzymywania. W niektórych przypadkach użytkownik może nie mieć pewności czy dane są przetwarzane na podstawie zgody czy na podstawie uzasadnionego interesu dostawcy usługi.

2. Kategoria – zastrzeżenia co do ważności zgód uzyskiwanych przez Google:

• Zgoda powinna być wyrażana przez osobę odpowiednio poinformowaną. Łamane jest to np. w rozdziale o personalizacji reklam. Google wcale nie dąży do uświadomienia ludziom jak wielu usług to dotyczy.
• Udzielone zgody nie są jednoznaczne. Użytkownicy zgadzali się ogólnie na warunki Google i Politykę Prywatności, ale RODO wymaga osobnej zgody dla każdego celu przetwarzania.

Wreszcie CNIL podkreślił, że naruszenie nie miało charakteru jednorazowego. Oczywiście wzięto to pod uwagę przy określaniu wysokości kary.