Amerykańska firma Equifax zajmuje się analizą kredytową i doradztwem. Między 13 maja a 30 czerwca 2017 r. wyciekły jej dane 146 mln klientów, w tym 15 mln Brytyjczyków. Information Commissioner's Office Case Team (ICO) – brytyjski odpowiednik Urzędu Ochrony Danych Osobowych - za brak ochrony danych nałożył na nią grzywnę w wysokości 500 tys. funtów, czyli ok. 2 mln zł. Z kolei w lipcu francuski CNIL (Commission Nationale Informatiqw&Libertes) nałożył 250 tys. euro kary na Optical Center – firmę zajmującą się sprzedażą okularów przeciwsłonecznych, która nie zabezpieczyła dobrze danych swoich klientów .
Można było do nich dotrzeć poprzez wpisanie kilku adresów URL w wyszukiwarkę. W ten sposób można było pozyskać: imię i nazwisko, miejsce zamieszkania, dane dotyczące stanu zdrowia, a nawet numer ubezpieczenia zdrowotnego. Ten sam urząd ukarał też wspólnotę mieszkaniową za to, że wysłała do swoich członków pismo o charakterze politycznym. – W ten sposób zmieniła cel przetwarzania danych – tłumaczy Arwid Mednis, radca prawny, partner w PwC Legal. - Dane zebrane do zarządzania wspólnoty zostały wykorzystane w celu politycznym. Po 25 maja kary mogłyby być znacznie wyższe.
Z RODO kary o 30 proc. wyższe
– Pod rządami RODO kara dla Optical Center zamiast 250 tys. euro mogłaby wynieść ok. 320 tys. euro – mówi Gerard Karp, partner w kancelarii PwC Legal. Dlaczego? - Zgodnie z RODO za naruszenie przepisów może zostać nałożona kara finansowa do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa – wyjaśnia Gerard Karp. Arwid Mednis przeprowadził symulację wzrostu kar na przykładzie tych nakładanych przez CNIL. - Pod RODO kary wzrosłyby o ok. 30 procent – uważa Mednis. - Dodatkowo firmy będą zmagały się z roszczeniami od klientów – dodaje.
Klienci mogą pójść do sądu
Zgodnie z RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. – Art. 82 RODO stanowi bezpośrednio skuteczną podstawę dochodzenia roszczeń odszkodowawczych w przypadku naruszenia przepisów ochronie danych osobowych – dodaje dr Mirosław Gumularz, radca prawny z kancelarii GKK (Gumularz Kozik). O jakie odszkodowanie można walczyć? Tego RODO nie precyzuje. Gerard Karp jest jednak przekonany, że jeszcze w tym roku pojawią się pierwsze sprawy w sądach.
Amerykanie określili stawki
Maciej Gawroński, radca prawny, partner w kancelarii Gawroński&Partners zauważa jednak, że Equifax za taki wyciek jak w 2017 r., za dwa lata w Kalifornii groziłoby co najmniej 1,5 mld dolarów odszkodowania. Zgodnie bowiem z California Consumer Privacy Act, który zacznie obowiązywać od stycznia 2020 r. za każde naruszenie przepisów o ochronie danych, każdy konsument będzie mógł żądać od 100 do 750 dolarów.
Cena promocyjna: 95.19 zł
|Cena regularna: 119 zł
|Najniższa cena w ostatnich 30 dniach: zł
Arwid Mednis uspokaja jednak. - To nie jest tak, że gdy fryzjer zbiera dane swoich klientów, a te wyciekną, to przyjdzie UODO i nałoży kary, a klienci pójdą od razu do sądu. Dlatego nie należy straszyć wielkością kar – mówi Mednis. Choć dodaje, że nieprzestrzeganie RODO zwłaszcza przy przetwarzaniu danych na dużą skalę może sporo kosztować. Nie będą one jednak miliardowe.
- Jeśli sprawa dotyczy przetwarzania danych w kilku państwach członkowskich, to właściwy jest organ nadzorczy unijnej centrali firmy. Stąd PUODO mógłby nałożyć miliardową karę tylko, gdyby polska firma miała 400 miliardów globalnego obrotu, lub gdyby globalna firma o takiej skali w Polsce założyła swoją unijną centralę. Niestety, wszystkie pozaunijne lokują się w Irlandii - wyjaśnia Gawroński.
Pierwsze kary w październiku
Pod koniec sierpnia dr Edyta Bielak- Jomaa, prezes UODO, poinformowała, że jeszcze w tym roku zacznie kontrola monitoringu wizyjnego. - Okres przejściowy kończy za miesiąc, a Urząd zamierza sprawdzić, jak monitoring jest stosowany w różnych podmiotach, zarówno publicznych, w tym w szkołach, jak i prywatnych - mówiła prezes UODO.
Sprawdź w LEX SIP jak wygląda kontrola UODO:
- Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >>
- Ustalenie wyników w protokole kontroli przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.