RODO
Monitoring GPS w pojazdach służbowych
Czytaj więcej...
Realizacja obowiązków AML w dealerstwie - wdrożenie procedury przeciwdziałania praniu brudnych pieniędzy
RODO
27.08.2018
Naruszenie przepisów o ochronie danych osobowych zwykle kojarzy się przede wszystkim z wysokimi karami administracyjnymi. Wejściu w życie RODO towarzyszyły liczne komunikaty o niebagatelnych karach finansowych sięgających nawet do 4% wartości łącznego rocznego światowego obrotu przedsiębiorstwa lub 20 mln EUR.
Jednak naruszenie przepisów o ochronie danych osobowych to nie tylko kary administracyjne. Niezależnie od dotychczasowych regulacji zawartych w kodeksie karnym (przestępstwa przeciwko ochronie informacji) obowiązująca ustawa o ochronie danych osobowych zawiera przepisy przewidujące karę grzywny, ograniczenia wolności albo pozbawienia wolności za bezprawne przetwarzanie danych osobowych jak również za utrudnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych.
Uzupełnieniem odpowiedzialności administracyjnej i karnej za naruszenie przepisów o ochronie danych osobowych jest mechanizm tzw. private enforcement. Umożliwia on osobie, której dane zostały naruszone, samodzielne dochodzenie ochrony sądowej niezależnie od reakcji bądź bezczynności organów publicznych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub procesora odszkodowania za poniesioną szkodę. Co istotne, RODO przewiduje domniemanie winy administratora i podmiotu przetwarzającego za zajście zdarzenia, które doprowadziło do powstania szkody. Zatem w przypadku procesu to pozwany będzie musiał udowodnić, że wystąpienie szkody nie było przez niego zawinione. Pozwane firmy będą musiały zatem wykazać, że wdrożyły odpowiednie rozwiązania chroniące dane w sposób wymagany przez obowiązujące przepisy. Oprócz roszczenia odszkodowawczego osoba, której dotyczą naruszone dane, ma prawo zwrócić się do sądu o „udzielenie skutecznego środka ochrony prawnej”. Polski ustawodawca w tym zakresie odsyła do przepisów Kodeksu cywilnego. Poszkodowany będzie mógł zatem domagać się zobowiązania pozwanego np. do podjęcia odpowiednich działań zmierzających do zabezpieczenia naruszonych danych, zaniechania naruszeń, usunięcia wszelkich skutków, które pojawiły się w związku z naruszeniami, złożenia oświadczenia o odpowiedniej treści.
Niedocenianym często przez firmy skutkiem naruszenia przepisów o ochronie danych jest jego wpływ na wizerunek i reputację firmy. O ile w prowadzonych postępowaniach i dotyczących naruszenia przepisów o ochronie danych osobowych administratorzy i procesorzy mają szansę bronić przed stawianymi zarzutami, o tyle incydenty związane z danymi osobowymi np. wyciekami danych mogą błyskawicznie zniszczyć relacje firmy z otoczeniem.
Jako przykład można przytoczyć sprawę wycieku danych osobowych kandydatów zgłaszających się w procesie rekrutacyjnym. Wyciek dotyczył adresów, telefonów, przebiegu kariery zawodowej, hobby półtora tysiąca osób, które można było pobrać z portalu zainwestujwprzyszlosc.pl. W ciągu zaledwie jednego tygodnia w prasie i internecie ukazały się 54 publikacje na ten temat, z czego aż 51 miało negatywny wydźwięk dla firmy, która dopuściła do wycieku danych[i].
W przypadku TalkTalk, firmy świadczącej m.in. usługi dostępu do internetu, będącej w 2015 roku celem cyberataku, który spowodował wyciek danych ponad 150 tys. klientów, koszty incydentu wyliczono na kilkadziesiąt milionów funtów, a firma straciła 101 tys. klientów[ii].
Z kolei Cambridge Analytica, po tym, jak przyczyniła się do wycieku i bezprawnego użycia danych użytkowników Facebooka, zmuszona była złożyć wniosek o upadłość[iii].
Firmy powinny mieć na uwadze, że utrata reputacji jest często bardzo kosztowna, a bywa nieodwracalna. Oprócz działań ukierunkowanych na wdrożenie rozwiązań wewnątrz firmy spełniających wymagania przepisów o ochronie danych osobowych, warto zainwestować w działania mające na celu zarządzanie ryzykiem reputacji. Przyjmując, założenie, że niemożliwe jest wyeliminowanie błędów w procesie ochrony danych osobowych, należy być przygotowanym na szybką reakcję w razie wystąpienia incydentów i przyjęcie wewnątrz organizacji określonych zasad postępowania. Zasady te mogą obejmować w szczególności: natychmiastową reakcję na incydent – np. zablokowanie strony, z której nastąpił wyciek danych; przyznanie się do błędu, (zamieszczenie komunikatu wyjaśniającego sytuację i informującego o podejmowanych przez firmę działaniach); przygotowanie i uruchomienie programu naprawczego np. wprowadzenie danych osobowych na bezpieczne serwery, przeprowadzenie szkoleń wśród pracowników[iv].
[i] U. Podraza, Kryzysowe Public Relations, Difin, Warszawa 2009.
[ii] Tomasz Świderek, TalkTalk zmienia prezesa [dostęp: 02.07.2018] https://www.telko.in/talktalk-zmienia-prezesa.
[iii] Cambridge Analytica closing after Facebook data harvesting scandal [dostęp: 02.07.2018] https://www.theguardian.com/uk-news/2018/may/02/cambridge-analytica-closing-down-after-facebook-row-reports-say.
[iv] Danuta Szwajca, Źródła i determinanty ryzyka reputacji firmy, Marketing i Rynek, 10/2013.