Kosztowny apetyt na ryzyko

Przedsiębiorcy powinni zastanowić się nad zwiększeniem budżetów o kwoty na zabezpieczenie danych osobowych. Taką sugestię podpowiada adwokat Marcin Zadrożny z ODO 24 — przede wszystkim ze względu na konsekwencje wycieku informacji, ale też m.in. z uwagi na kary, które od 25 maja tego roku mogą być nakładane za naruszenia w przestrzeganiu zasad ich ochrony. Unijne rozporządzenie w sprawie danych osobowych (RODO) przewiduje nawet 20 mln EUR kary za istotne złamanie przepisów — albo 4 proc. całkowitego światowego obrotu przedsiębiorstwa. Niższe sankcje finansowe, do 10 mln EUR (lub do 2 proc. obrotu), są przewidziane w sprawach mniejszej wagi. Ale nie każde postępowanie prowadzone przez organ nadzoru — czyli obecnie przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) — musi kończyć się karą finansową. Zgodnie z prawem, przed jej nałożeniem każdy przypadek ma być rozpatrywany indywidualnie, z uwzględnieniem np. skali naruszenia, umyślności działań, kroków podjętych dla zminimalizowania szkód poniesionych przez osoby, których dane dotyczą, a także tego, czy przewinienie nastąpiło pierwszy raz. Ekspert ODO 24 zwraca przy tym uwagę na przepis RODO (art. 83 ust. 3), w którym czytamy: „Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie”. Adwokat podkreśla jednak, że przesłanki ustalania kar są nieostre i tego powinny obawiać się firmy, mimo że decyzje administracyjne będą podlegały kontroli sądowo-administracyjnej. Na dodatek przedsiębiorcy mogą spodziewać się też innych konsekwencji naruszeń.

— Każda osoba, której dane są przetwarzane i która poniesie szkodę majątkową lub niemajątkową w związku z ich wykorzystaniem niezgodnym z przepisami, ma możliwość wystąpienia do sądu okręgowego o ich naprawienie. Wprowadzono w tym celu bezpośrednią podstawę prawną umożliwiającą dochodzenie tych roszczeń — wyjaśnia Maciej Zadrożny.

Według danych organu nadzoru, od 25 maja do końca czerwca do urzędu wpłynęło ponad 750 zgłoszeń nieprzestrzegania zasad ochrony informacji przez ich administratorów, np. nadużywania umów powierzenia ich przetwarzania podmiotom zewnętrznym, udostępniania osobom nieuprawnionym czy gubienia nośników danych. Około 150 z tych skarg dotyczyło naruszeń bezpieczeństwa procesów przetwarzania.

— Przedsiębiorcy, którzy wcześniej mieli „apetyt na ryzyko”, zostali zmuszeni do ponownej jego kalkulacji. Można założyć, że wysokie kary zmotywują do przykładania większej wagi i respektowania przepisów, a także — co za tym idzie — do inwestycji w bezpieczeństwo — komentuje adwokat.