RODO (GDPR) - kara dla Google. Kiedy kary w Polsce?

Wszyscy wiemy, że RODO nakłada na administratora (który wie, jakie dane gromadzi, w jakim celu i komu je udostępnia) obowiązek wdrożenia takich zabezpieczeń – organizacyjnych i technicznych, które zapewnią odpowiedni poziom ochrony informacji. Co istotne, do UODO firmy i organizacje w ciągu 72 godz. muszą raportować każdy wyciek, zniszczenie bądź nieautoryzowane naruszenie danych osobowych, które może rodzić ryzyko naruszenia praw osób fizycznych.

Najczęściej jednak mówienie o RODO obywa się w kontekście kar, które ustawodawca przewidział jako straszak. I teraz straszak wypalił. 21 stycznia francuski urząd ochrony danych – CNIL – nałożył karę w wysokości 50 mln euro na firmę Google. To najwyższa jak dotąd kara finansowa nałożona na podstawie GDPR/RODO. CNIL uznał, że Google nie informuje użytkowników przejrzyście i nie uzyskuje zgód na przetwarzanie danych w odpowiedni sposób.

Autor: Kapitan Hack Data dodania: 30 sty 2019 14:35 4 min czytania

A jak to wygląda w Polsce?

Od siedmiu miesięcy stosowania RODO (od 25 maja ub.r.) oczekiwaliśmy, że kary są nieuchronne także w Polsce. Zwłaszcza, że Urząd Ochrony Danych Osobowych otrzymał ponad 10 tys. skarg, pytań i zgłoszeń. W tym jest ponad 3 tys. skarg w związku z nieprawidłowym przetwarzaniem danych osobowych. Prezes UODO zapowiada, że wkrótce można spodziewać się pierwszych kar finansowych.

– Prowadzonych jest bardzo wiele postępowań. Kary z pewnością wkrótce się pojawią. Powinny być dotkliwe, jak wymaga tego samo rozporządzenie – stwierdza prezes UODO, Edyta Bielak-Jomaa.

W zależności od stwierdzonych naruszeń UODO będzie wydawał nakazy przywrócenia stanu zgodnego z prawem albo nakładał kary finansowe. Podmiotom, które nie stosują się do nowych przepisów, grożą grzywny sięgające 20 mln euro albo 4 proc. rocznych globalnych obrotów przedsiębiorstwa. Prezes UODO – jako organ nadzorczy – będzie decydować o ich wysokości.

Szefowa urzędu przyznaje jednocześnie, że wiele skarg ma braki formalne, a UODO aby rozpatrzyć sprawę musi najpierw wzywać do usunięcia tych braków. W niektórych przypadkach skargi okazują się bezzasadne. W wielu sprawach, zwłaszcza tych bardziej skomplikowanych, UODO wciąż prowadzi postępowania.

– Największy problem jest związany z koniecznością całkiem nowego spojrzenia na system ochrony danych osobowych. Rozporządzenie nie zawiera gotowych wskazówek ani rozwiązań, które mogłyby być przyjęte u każdego z administratorów. Mają oni problem z prawidłowym poukładaniem procesów przetwarzania danych – przyznaje Edyta Bielak-Jomaa.

Przypomnijmy za co zostało ukarane Google. Po analizie dokumentów i inspekcji online Francuski urząd zwrócił uwagę na:

1. Kategoria – niejasna informacja o procesie przetwarzania danych:

Informacje o przetwarzaniu danych nie były przedstawione przejrzyście.
Rozbito informacje na różne dokumenty i użytkownik może mieć problem z ustaleniem np. czasu przetwarzania danych lub kategorii danych użytych do personalizacji.
Aby dotrzeć do wymaganej informacji użytkownik musi wykonać kilka czynności, nawet 5 lub 6.
Część informacji nie jest ani jasna, ani wyczerpująca.
Cele przetwarzania danych opisano w sposób “zbyt ogólny i niejasny”.
Dla niektórych danych w ogóle nie podano informacji o czasie przetrzymywania. W niektórych przypadkach użytkownik może nie mieć pewności czy dane są przetwarzane na podstawie zgody czy na podstawie uzasadnionego interesu dostawcy usługi.

2. Kategoria – zastrzeżenia co do ważności zgód uzyskiwanych przez Google:

Zgoda powinna być wyrażana przez osobę odpowiednio poinformowaną. Łamane jest to np. w rozdziale o personalizacji reklam. Google wcale nie dąży do uświadomienia ludziom jak wielu usług to dotyczy.
Udzielone zgody nie są jednoznaczne. Użytkownicy zgadzali się ogólnie na warunki Google i Politykę Prywatności, ale RODO wymaga osobnej zgody dla każdego celu przetwarzania.

Wreszcie CNIL podkreślił, że naruszenie nie miało charakteru jednorazowego. Oczywiście wzięto to pod uwagę przy określaniu wysokości kary.