Przed 25 maja br. przedsiębiorcy straszeni byli ogromnymi sankcjami, które będą im grozić za niestosowanie się do nowego prawa (RODO). Zgodnie z przepisami przed nałożeniem kary każdy przypadek ma być rozpatrywany indywidualnie. Przy czym istotne będą elementy takie jak np. skala naruszenia, umyślność działań, co zrobiono, żeby zminimalizować szkody poniesione przez osoby, których dane dotyczą, czy jest to pierwsze, czy kolejne przewinienie. Warto pamiętać, że organ nadzorczy może uwzględniać wszelkie okoliczności obciążające lub łagodzące. Należy pamiętać również, że nie każde postępowanie musi zakończyć się karą finansową.

Jeśli działanie było celowe, nie zdarzyło się pierwszy raz, a winny nie będzie chciał współpracować z UODO, to można zakładać, że dana firma otrzyma wyższe sankcje. Trzeba jednak pamiętać, że według art. 83 ust. 3: jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Niestety przesłanki ustalania finansowych kar administracyjnych są nieostre i tego powinny obawiać się organizacje. Oczywiście decyzje administracyjne będą podlegały kontroli sądowo-administracyjnej.

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

Marcin Zadrożny z ODO 24 uważa, że należy pamiętać, iż każda osoba, której dane są przetwarzane i w związku z tym przetwarzaniem (niezgodnym z przepisami RODO), poniosła szkodę majątkową lub niemajątkową ma możliwość dochodzenia przed sądem okręgowym naprawienia szkody od administratora lub podmiotu, któremu dane zostały powierzone przez administratora. Z tym zastrzeżeniem, że administrator danych powinien wybierać takie podmioty przetwarzające, które zapewniają gwarancję właściwych zabezpieczeń danych. Ekspert dodaje, że nasze dane to również nasza prywatność i bezpieczeństwo. Nieprawidłowe przetwarzanie danych i niewłaściwe ich zabezpieczanie naraża nas na bardzo negatywne konsekwencje, w tym na szkody majątkowe, a nawet na kradzież tożsamości. Bezpośrednia podstawa prawna do dochodzenia roszczeń od podmiotów, które spowodowały szkodę lub krzywdę była nam potrzebna.

W Polsce liczba osób korzystających codziennie z Internetu stale rośnie (64%). Co więcej ¾ obawia się, że dostawcy usług posiada zbyt dużo ich danych osobowych – wynika z badania przeprowadzonego przez Kantar Public. Od 25 maja 2018 do końca czerwca 2018 roku do Urzędu Ochrony Danych Osobowych wpłynęło ponad 750 skarg w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych.

Marcin Zadrożny zwraca uwagę na to, że górne limity kar są dość przerażające i obowiązują we wszystkich państwach Unii Europejskiej. W Polsce sankcje będą nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Przedsiębiorcy, którzy wcześniej mieli „apetyt na ryzyko”, zmuszeni zostali do ponownej jego kalkulacji. Można założyć, że wysokie kary zmotywują organizacje do przykładania większej wagi i respektowania przepisów o ochronie danych osobowych, a także – co za tym idzie – do inwestycji w bezpieczeństwo .

Organizacje muszą zastanowić się nad zwiększeniem budżetów na zabezpieczenie danych z uwagi na ryzyka występujące dla tych danych, a w szczególności nad rozwiązaniami informatycznymi, m.in. systemy monitorowania zdarzeń w systemach (SIEM – Security Information and Event Management) i zapobiegania wyciekom informacji (tzw. DLP – ang. Data Lost Prevention) oraz rozwiązania wykrywające i blokujące ataki sieciowe (IDS/IPS – Intrusion Detection/PreventionSystems), mechanizmy wspierające zarządzanie dostępami (IdM – Identity Management).

Źródło: ODO 24