Właśnie tyle wynosi bowiem najwyższa kara w Polsce nałożona w styczniu 2022 roku przez Prezesa Urzędu Ochrony Danych Osobowych za nieprzestrzeganie przepisów rozporządzenia 2016/679. Ukarany administrator będzie musiał więc zapłacić prawie 5 milionów złotych, tym samym wyprzedzając dotychczasowego rekordzistę, firmę Morele.net, o ponad 300 tysięcy euro.
Chodzi o spółkę Fortum Marketing and Sales Polska S.A., w której doszło do trwającego 5 dni wycieku danych osobowych około 100000 klientów z jej bazy danych. Administratorowi nie pomógł fakt, iż bezpośrednią przyczyną wystąpienia naruszenia było niewłaściwe działanie podmiotu przetwarzającego (który otrzymał osobną karę, jednak niższą, w kwocie 53 tysięcy euro), z którym została podpisana umowa powierzenia. Organ nadzorczy uznał jednak, że podczas jej podpisywania administrator nie upewnił się, że procesor gwarantuje odpowiedni poziom bezpieczeństwa i poufności danych. PUODO zarzucił mu też szereg innych przewinień na gruncie RODO, co spowodowało, że większość odpowiedzialności spadło właśnie na niego.
Z punktu widzenia spółki jest to więc zapewne odczuwalna strata finansowa, a przecież organ nadzorczy wciąż ma ogromny margines w kwestii wyznaczania wymiaru kary. Maksymalna administracyjna kara pieniężna może, w świetle przepisów RODO, wynieść 20 milionów euro lub, w przypadku przedsiębiorstwa, 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z podanych kwot jest wyższa. Potencjalnie więc, przy bardziej surowej interpretacji organu, konto ukaranej spółki mogłoby zostać uszczuplone o nawet kilkakrotnie wyższą kwotę.
Oczywiście w większości przypadków naruszenia nie będą przybierały tak dużej skali, ale nawet jeśli jesteś przekonany, że Twojej firmie, ze względu na charakter czy zakres prowadzonej działalności, nie grożą równie wysokie kary, może się to okazać wyłącznie złudzeniem. Średnia wysokość kar dla polskich firm wynosi bowiem niespełna 90 tysięcy euro, a od momentu obowiązywania RODO w Polsce wymierzono 39 kar na łączną kwotę 3,398,718 euro (stan na dzień: 20.09.2022r.). Co więcej, wymierzane kary dotyczą coraz częściej małych i średnich podmiotów, a ich liczba z roku na rok rośnie.
Jeśli więc, mając na uwadze przytoczone fakty, Twoja odpowiedź na postawione wyżej pytane brzmi: „nie” i uważasz, że mógłbyś spożytkować swoje środki lepiej, wspierając rozwój własnej firmy i jej pracowników, zamiast opłacać kary, mamy dla Ciebie dobrą wiadomość: zabezpieczenie danych osobowych w firmie wcale nie jest tak skomplikowane jak mogłoby się wydawać.
Przydatne będzie jednak do tego powołanie w swojej organizacji Inspektora Ochrony Danych, który dzięki swojej wiedzy i doświadczeniu doradzi odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo przetwarzanych danych, co w rezultacie pozwoli Ci uniknąć zarówno strat finansowych, jak i, często bardziej dotkliwych, strat wizerunkowych.
Zadaniem IOD w Twojej firmie będzie sprawdzenie i ocena bieżącego stanu bezpieczeństwa danych osobowych, przygotowanie niezbędnej dokumentacji oraz dopilnowanie, aby wszystkie procesy przetwarzania przebiegały zgodnie z przepisami prawa. Jednym z jego działań będzie też zadbanie o odpowiedni poziom świadomości i wiedzy pracowników, co zapewni poprzez prowadzenie systematycznych szkoleń.
Jeśli chcesz więc oddać bezpieczeństwo danych osobowych w swojej firmie w ręce sprawdzonych specjalistów, sprawdź ofertę Aegis Security, która oferuje usługi w zakresie:
– audytu zgodności z RODO,
– dokumentacji RODO,
– wdrożenia RODO,
– szkolenia z ochrony danych osobowych,
– doradztwa w obszarze ochrony danych osobowych.
Źródła:
1) Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r. (DKN.5130.2215.2020)
2) GDPR Enforcement Tracker (https://www.enforcementtracker.com/)