Rozporządzenie o ochronie danych osobowych (w skrócie RODO) zostało wprowadzone w życie 25 maja 2018 roku. Jest to rozporządzenie unijne, które w zakresie ochrony danych osobowych osób fizycznych wprowadziło istotne zmiany. Jedną z największych zmian jest możliwość nakładania wysokich kar finansowych na podmioty, które nie przestrzegają przepisów o ochronie osób fizycznych w zakresie przetwarzania ich danych osobowych.
Wysokość nakładanych kar
Wysokość kar finansowych, które mogą zostać na podmioty łamiące przepisy RODO jest drastycznie wysoka. Kara finansowa, która zostanie nałożona przez organ nadzorujący ma bowiem pełnić funkcję nie tylko odstraszającą. Musi być także skuteczna i proporcjonalna. Maksymalna wysokość kary nałożonej na przedsiębiorcę może wynieść:
do 10 mln euro. Kara w takiej wysokości może zostać nałożona na te podmioty, które nie spełniają obowiązku informacyjnego wobec osoby, której dane przetwarzają, nie uwzględniły ochrony danych na etapie projektowania, błędnie prowadzą rejestr czynności przetwarzania lub nie prowadzą go w ogóle, mają nieprawidłowo zabezpieczone systemy informatyczne. Karą w tej wysokości mogą zostać ukarane również te organizacje, które nie powołały Inspektora Ochrony Danych, mimo że miały taki obowiązek;
do 20 mln euro. Kara ta może zostać nałożona między innymi na te podmioty, które nieprawidłowo przetwarzały dane osobowe odbiorców w krajach trzecich czy też na te, które nie dopełniły obowiązku informacyjnego.
Organ nadzorujący, który ma zdecydować o tym, czy daną organizację ukarać, a jeśli tak, to w jakiej wysokości nałożyć karę, powinien kierować się między innymi:
charakterem, wagą i czasem naruszania. Niezbędne jest przy tym uwzględnienie między innymi liczby osób, które zostały poszkodowane;
charakterem naruszenia. Chodzi tutaj o to, czy było to naruszenie umyślne czy nieumyślne;
rodzaj działań podjętych przez administratora danych w celu zmniejszenia szkody, którą poniosła osoba, której dane dotyczą.
Organem, który uprawniony jest do nakładania kar finansowych jest w Polsce Urząd Ochrony Danych Osobowych. Karą finansową w wysokości 2,8 mln złotych został przez przez niego ukarany między innymi sklep Morele.net. To sklep, który prowadzi sprzedaż online.
Za co ukarany został Morele.net?
W 2018 roku sklep Morele.net padł ofiarą ataku hakerów. Jego skutkiem był wyciek danych osobowych klientów, którzy dokonywali zakupów w sklepie w 2018 roku. Oprócz tego atak hakerski spowodował wyciek danych klientów dziesięciu innych sklepów internetowych, które były powiązane ze sklepem Morele.net. Nakładając karę na Morele.net prezes Urzędu Ochrony Danych Osobowych uzasadniał wysokość tak drastycznej kary tym, że sklep internetowy nie był w stanie temu atakowi zapobiec. Wiceprezes firmy Morele.net zapowiedział, że pełnomocnik firmy złoży odwołanie do Sądu Administracyjnego.
Czy kara była uzasadniona?
Radosław Stasiak, który w Morele.net jest wiceprezesem ds. IT uważa, że firma ze swojej strony dołożyła wszelkich starań, aby systemy IT były bezpieczne. Przed wejściem w życie przepisów RODO został przeprowadzony audyt bezpieczeństwa, dokonano również testów penetracyjnych. Zdaniem pana Stasiak, Morele.net było bardzo dobrze przygotowane do przepisów RODO i nałożona na sklep kara jest nieuzasadniona. O tym, że Morele.net padło ofiarą hakerskiego ataku, klienci sklepu mogli dowiedzieć się błyskawicznie. Firma zamieściła na stronie sklepu stosowny komunikat. W oświadczeniu znalazło się między innymi ostrzeżenie o SMS-ach z prośbą o dopłacenie kwoty 1 zł do zamówień złożonych w sklepie. Oświadczenie bardzo szybko zostało usunięte ze strony sklepu. Oficjalne informowanie klientów o tym, że ich dane osobowe zostały wykradzione, Morelle.net rozpoczęło dopiero 18 grudnia.
Czy Prezes Urzędu Ochrony Danych Osobowych słusznie nałożył tak wysoką karę na sklep internetowy Morele.net? Trudno o udzielenie jednoznacznej odpowiedzi. Ofiarą włamania hakerów może paść każdy. Hakerzy atakowali już takiego giganta jak Google, ich ofiarą padały także rządowe serwery.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)