Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).
Celem przypomnienia – RODO wyróżnia dwa przedziały kar pieniężnych:
– do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
– do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Ustawa o ochronie danych osobowych przewiduje jednak mniejsze kary dla podmiotów sektora finansów publicznych:
– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy o finansach publicznych, instytuty badawcze i Narodowy Bank Polski – w wysokości do 100 000 złotych (tj. np. szkoły, uczelnie, szpitale, ZUS, gminy, NFZ, sądy),
– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 Ustawy o finansach publicznych – w wysokości do 10 000 złotych (tj. np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki).
Śląski Uniwersytet Medyczny
Wysokość kary: 5 500 EURO
Śląski Uniwersytet Medyczny został ukarany za naruszenie ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent.
Nieznana
Wysokość kary: 19 000 EURO
Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej. Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.
Enea S.A.
Wysokość kary: 30 000 EURO
Do (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
Anwara Sp. z.o.o.
Wysokość kary: 4 600 EURO
Kara wymierzona została za niewywiązanie się z obowiązku współpracy z organem nadzorczym i niedostarczenie wszelkich informacji potrzebnych do realizacji zadań UODO w toku postępowania.
Krajowa Szkoła Sądownictwa i Prokuratury
Wysokość kary: 22 200 EURO
Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.
Cyfrowy Polsat S.A.
Wysokość kary: 245 000 EURO
Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem.
PNP SA
Wysokość kary: 5 100 EURO
Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.
Spółka Funeda Sp. z o.o.
Wysokość kary: 5100 EURO
Spółka Funeda Sp. z o.o. naruszyła przepisy ogólnego rozporządzenia o ochronie danych (RODO), polegające na braku współpracy z Urzędu Ochrony Danych Osobowych w ramach wykonywania przez organ nadzorczy zadań. Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.
P4
Wysokość kary: 22 222 EURO
Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę administracyjną karę pieniężną za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.
Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.
Wysokość kary: 35 555 EURO
Spółka nie zgłosiła naruszenia ochrony danych osobowych od UODO. Ponadto Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy.
Analizując wydane przez Prezesa UODO decyzje nakładające kary pieniężne należy uznać, iż najczęściej naruszanymi przepisami RODO były te dotyczące zasad zgodności z prawem, rzetelności, przejrzystości, a także współpracy z organem nadzorczym w toku kontroli. Powtarzającym się błędem popełnianym przez administratorów było także niespełnienie obowiązku informacyjnego wobec podmiotów danych czy niewdrożenie odpowiednich środków technicznych i organizacyjnych.