Napisz do nas
tiktok
Napisz do nas

MENU

Ochrona danych osobowych

Kara RODO dla firmy za 17 milionów złotych.

6 mar

Kara RODO dla firmy może wynieść miliony. Sprawdź, czego uczy przypadek McDonald’s.

Kara RODO dla firmy za 17 milionów złotych.

Czy kara RODO dla firmy może wynikać z błędnych decyzji organizacyjnych?

Kara RODO dla firmy może kojarzyć się z poważnym cyberatakiem albo celowym nadużyciem. Tymczasem praktyka Urzędu Ochrony Danych Osobowych (UODO) oraz bogate orzecznictwo pokazują, że źródłem problemu bywa m.in.:

  • wadliwa dokumentacja,
  • wadliwe decyzje organizacyjne (lub brak takich decyzji),
  • brak przeprowadzenia rzetelnej analizy ryzyka.

Głośna decyzja Prezesa Urzędu Ochrony Danych Osobowych wobec McDonald's Polska Sp. z o.o. jest tego najlepszym przykładem. Kara wynosząca prawie 17 mln zł nie była efektem spektakularnego ataku hakerskiego. Jej źródłem był m.in. brak zawarcia umowy powierzenia przetwarzania danych osobowych, błąd w zarządzaniu procesem przetwarzania danych pracowników, a także brak realnego nadzoru nad podmiotem przetwarzającym.

To sprawa, która powinna skłonić każdego przedsiębiorcę do zadania ważnego pytania:

Czy posiadam wdrożoną w moim przedsiębiorstwie dokumentację RODO, która będzie wystarczająca przy kontroli UODO?

Kara RODO dla firmy a outsourcing – gdzie zaczyna się odpowiedzialność administratora

W analizowanej sprawie McDonald’s powierzył obsługę systemu do planowania grafików pracowniczych podmiotowi zewnętrznemu. Sam fakt outsourcingu nie jest niczym nadzwyczajnym. Współczesny biznes opiera się na współpracy z dostawcami technologii i usług.

Problem polegał jednak na tym, że nie zawarto umowy powierzenia przetwarzania danych osobowych, a także nie przeprowadzono rzetelnej analizy ryzyka. Administrator nie zapewnił sobie pełnej kontroli nad systemem, nie prowadził audytów, nie weryfikował na bieżąco sposobu przetwarzania danych. W efekcie powyższych braków, doszło do publicznego ujawnienia danych pracowników, w tym numerów PESEL i paszportów.

W sprawie McDonald’s wykazano również, że dopiero w toku postępowania organ nadzorczy wymusił podpisanie umowy powierzenia danych osobowych, choć obowiązek ten istniał wcześniej, zgodnie z art. 28 ust. 4 i 9 RODO.

Dodatkowo ani administrator, ani podmiot przetwarzający nie angażowali inspektora ochrony danych (IOD) w kluczowe decyzje dotyczące wyboru podmiotu przetwarzającego ani sposobu przetwarzania danych w module grafików. Według UODO, pominięcie IOD ograniczyło możliwość zapobieżenia naruszeniu, co pokazuje, jak istotna jest rola IOD w codziennym nadzorze nad bezpieczeństwem danych.

RODO nie pozostawia wątpliwości – administrator odpowiada za bezpieczeństwo danych przez cały okres ich przetwarzania. Powierzenie danych nie oznacza przeniesienia odpowiedzialności.

Jaka może być wysokość kary RODO dla firmy?

Podstawa prawna Maksymalna kara Przykładowe naruszenia
Art. 83 ust. 4 RODO do 10 000 000 EUR lub do 2% rocznego światowego obrotu Brak odpowiednich środków technicznych i organizacyjnych, brak umowy powierzenia, brak rejestru czynności przetwarzania
Art. 83 ust. 5–6 RODO do 20 000 000 EUR lub do 4% rocznego światowego obrotu Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy

Powyższe oznacza, że kara RODO dla firmy może być liczona nie tylko kwotowo, ale również procentowo – w oparciu o globalny obrót przedsiębiorstwa. Prezes UODO przy wymierzaniu kary bierze pod uwagę m.in. (art. 83 ust. 2 RODO):

  • charakter, wagę i czas trwania naruszenia,
  • liczbę poszkodowanych osób,
  • umyślność lub nieumyślność działania,
  • wdrożone środki techniczne i organizacyjne,
  • wcześniejsze naruszenia,
  • stopień współpracy z organem,
  • kategorię danych (np. dane szczególne),
  • działania podjęte w celu ograniczenia szkody.

W praktyce oznacza to, że kara RODO dla firmy jest zawsze oceną indywidualną.

Granica między optymalizacją a ryzykiem

Każda organizacja dąży do usprawnienia procesów. Automatyzacja, centralizacja danych czy integracja systemów są naturalnym kierunkiem rozwoju.

Granica zostaje przekroczona wtedy, gdy decyzje optymalizacyjne nie są równolegle analizowane pod kątem compliance – w tym przypadku ochrony danych osobowych.

Z mojej praktyki wynika, że kara RODO dla firmy pojawia się najczęściej tam, gdzie szybkie wdrożenie procesów nie nadążyło za koniecznością sporządzenia odpowiedniej dokumentacji.

Czego ta sprawa powinna nauczyć każdego administratora danych?

Decyzja UODO to wyraźny sygnał dla rynku. Organ bada nie tylko sam incydent, lecz cały system zarządzania bezpieczeństwem danych.

Istotne jest również sprawdzenie, że system bezpieczeństwa informacji (SZBI) został wdrożony zgodnie z zasadami wynikającymi z RODO, zwłaszcza z zasadą minimalizacji i rozliczalności (art. 5 ust. 1 lit. c RODO oraz art. 5 ust. 2 RODO).

Jak pokazuje przykład McDonald’s, bez odpowiedniego wdrożenia przepisów RODO, kwestią czasu może stać się kara RODO dla firmy.

PRAKTYCZNY TIP OD NAS – CHECKLISTA WERYFIKACYJNA

1) Rejestry przetwarzania Czy prowadzisz rejestr czynności przetwarzania?
Czy jako procesor prowadzisz rejestr kategorii czynności?
Czy wszystkie operacje są ujęte?
Czy wskazano podstawy prawne i okresy przechowywania?
2) Umowy powierzenia Czy zawarłeś umowy z:
– biurem rachunkowym / księgowym?
– dostawcą systemu kadrowo-płacowego?
– firmą IT?
– hostingodawcą?
– dostawcą CRM lub narzędzi mailingowych?
3) Polityka bezpieczeństwa Czy dokument istnieje?
Czy uwzględnia aktualne zabezpieczenia?
Czy odpowiada rzeczywistości?
4) Pracownicy Czy wdrożono procedurę rekrutacji?
Czy podpisano upoważnienia?
Czy prowadzona jest ewidencja?
Czy pracownicy przeszli szkolenie?
Czy zakres dostępu odpowiada obowiązkom?
5) Analiza ryzyka Czy przed wdrożeniem nowych systemów przeprowadzasz analizę ryzyka?
Czy dokumentujesz proces decyzyjny?
Czy potrafisz wykazać zasadę rozliczalności?

Pełne stanowisko UODO w sprawie McDonald’s:
https://uodo.gov.pl/pl/138/3827

Zapraszam również do zapoznania się z innym blogiem kancelarii:
https://wd-lex.pl/blog/czy-udostepnienie-imienia-i-nazwiska-stanowi

FAQ – kara RODO dla firmy

1. Czy kara RODO może wynikać z błędnych decyzji organizacyjnych?

Tak. Kara RODO dla firmy może być efektem wadliwej dokumentacji, braku rzetelnej analizy ryzyka lub błędnych decyzji organizacyjnych, a nie tylko cyberataków czy celowego nadużycia. Przykładem jest sprawa McDonald’s Polska, gdzie źródłem problemu był m.in. brak umowy powierzenia danych, brak nadzoru nad podmiotem przetwarzającym i brak przeprowadzenia właściwej analizy ryzyka.

2. Kiedy odpowiedzialność administratora zaczyna się przy outsourcingu danych?

Administrator odpowiada za bezpieczeństwo danych przez cały czas ich przetwarzania, także gdy powierza je podmiotowi zewnętrznemu. Outsourcing nie zwalnia z obowiązku zawarcia umowy powierzenia, przeprowadzenia analizy ryzyka ani bieżącego nadzoru nad systemem. Niedopełnienie tych obowiązków może skutkować ujawnieniem danych i karą administracyjną.

3. Jak wysoka może być kara RODO dla firmy?

Wysokość kary zależy od naruszenia i jest ustalana indywidualnie. Zgodnie z art. 83 ust. 4–6 RODO, maksymalne kary mogą wynosić do 10 lub 20 milionów EUR lub odpowiednio 2–4% rocznego światowego obrotu firmy. Prezes UODO przy wymierzaniu kary uwzględnia charakter naruszenia, liczbę poszkodowanych, umyślność działania, wdrożone środki bezpieczeństwa, wcześniejsze naruszenia i współpracę z organem.

4. Jak uniknąć ryzyka kary RODO w firmie?

Ryzyko można ograniczyć poprzez wdrożenie i utrzymanie kompletnej dokumentacji RODO, prowadzenie rejestrów czynności przetwarzania, zawieranie umów powierzenia danych z podwykonawcami, przeprowadzanie analizy ryzyka, nadzór nad systemami IT oraz szkolenia pracowników. Ważne jest także uwzględnienie roli inspektora ochrony danych w decyzjach dotyczących przetwarzania danych.

5. Czego powinna nauczyć sprawa McDonald’s każdego administratora danych?

Decyzja UODO pokazuje, że organ ocenia cały system zarządzania bezpieczeństwem danych, a nie tylko incydent. Administrator powinien wdrożyć system bezpieczeństwa informacji zgodny z zasadami RODO, w tym zasadę minimalizacji i rozliczalności. Brak odpowiedniego wdrożenia przepisów zwiększa ryzyko otrzymania wysokiej kary RODO.

Skontaktuj się z nami

Jeżeli korzystasz z usług podwykonawców, wdrażasz nowe systemy IT lub przetwarzasz dane pracowników i klientów, warto sprawdzić, czy Twoje procesy są rzeczywiście bezpieczne.

Skontaktuj się z nami, aby uzyskać fachową pomoc i wsparcie w zakresie audytu oraz zarządzania ryzykiem związanym z ochroną danych. Uważamy, że lepiej zapobiegać niż leczyć.

Pozdrawiam
Wiktor Dębowski

Skontaktuj się z nami już dziś

Oferujemy kompleksowe usługi prawne, które zabezpieczą Twoje interesy. Sprawdź naszą ofertę i skorzystaj z naszych doświadczeń.

Napisz do nas
Blog

Przeglądaj inne artykuły

Jak prowadzić rejestr czynności przetwarzania danych? 6 mar
Ochrona danych osobowych

Jak prowadzić rejestr czynności przetwarzania danych?

Rejestr czynności przetwarzania to podstawowy dokument wymagany przez art. 30 RODO. Sprawdź kto musi go prowadzić, co powinien zawierać i jak go przygotować w firmie.

Jak przygotować dokumentację RODO w firmie? 6 mar
Ochrona danych osobowych

Jak przygotować dokumentację RODO w firmie?

Jak przygotować dokumentację RODO w firmie krok po kroku?

Czy wdrożenie RODO jest obowiązkowe? Przedstawiam praktyczny poradnik dla firm 25 lut
Ochrona danych osobowych

Czy wdrożenie RODO jest obowiązkowe? Przedstawiam praktyczny poradnik dla firm

Wdrożenie RODO bez chaosu i zbędnych dokumentów. Sprawdź, co jest naprawdę wymagane.

Kontakt

Skontaktuj się z nami