Za nami pierwsze sześć miesięcy obowiązywania RODO. Od początku najwięcej emocji wśród przedsiębiorców budziły dotkliwe sankcje za nieprzestrzeganie nowych przepisów. Kara pieniężna za naruszenie obowiązków związanych z przetwarzaniem danych osobowych może wynieść nawet 20 000 000 € lub 4% rocznego światowego obrotu. Zgodnie z zapowiedziami, pierwsze planowe kontrole obejmą przede wszystkim administratorów prowadzących monitoring wizyjny, a także podmioty z sektora medycznego i oświaty. Praktyka pokaże, jak surowo karane będą podmioty, które nie przestrzegają obowiązków związanych z przetwarzaniem danych osobowych. Na razie Urząd uspokaja, że przynajmniej w pierwszym okresie sprawdzeń, nie zamierza nadużywać prawa do nakładania kar finansowych.
Informacje o pierwszych karach spływają natomiast z organów nadzorczych innych państw europejskich. Warto zwrócić uwagę nie tylko na wysokość nałożonych kar, ale także na opisane w decyzjach naruszenia, które mogą stanowić cenną wskazówkę w zakresie praktycznego stosowania RODO.
Austria
W Austrii, podobnie jak w Polsce, w początkowym okresie obowiązywania RODO deklarowano stosowanie raczej upomnień niż kar finansowych. Mimo tego, pierwsza kara w wysokości 4.800 euro, została nałożona już we wrześniu na przedsiębiorcę, który nieprawidłowo stosował monitoring wizyjny. Kamera zamontowana przed jego zakładem obejmowała również znaczną część chodnika – a więc wkraczała w obszar publiczny. Dodatkowo przedsiębiorca zaniedbał prawidłowego oznaczenia monitoringu.
Portugalia
Znacznie wyższą karę otrzymało natomiast Centrum Szpitalne Barreiro - Montijo w Portugalii. Dwa poważne naruszenia zasad ochrony danych kosztowały szpital łącznie 400 000 euro. Szpital w nieprawidłowy sposób zarządzał dostępem do danych osobowych pacjentów. Dostęp do danych medycznych został udzielony nie tylko lekarzom, ale również niektórym pracownikom socjalnym. Ponadto, w systemie informatycznym założonych zostało ponad 900 profili z uprawnieniami dostępu na poziomie lekarza, mimo że placówka zatrudniała ich trzykrotnie mniej. Szpital nie tylko udostępnił dane osobowe zbyt szerokiemu gronu pracowników, ale również nie zapewnił integralności i bezpieczeństwa danych zgromadzonych w systemie.
Wielka Brytania
W najbliższym czasie możemy spodziewać się również kar ze strony Information Commissioner's Office (ICO) w Wielkiej Brytanii (odpowiednik polskiego PUODO). Pierwszym przedsiębiorcą wezwanym do zaprzestania naruszeń pod groźbą nałożenia kary finansowej jest kanadyjska spółka AggregateIQ Data Services Ltd (AIQ), oskarżana o powiązania z Cambridge Analitica. ICO zarzuca spółce przetwarzanie danych osobowych obywateli Wielkiej Brytanii bez ich wiedzy i bez legalnej podstawy prawnej. Działania AIQ już przed obowiązywaniem RODO budziły duże kontrowersje, w związku z zaangażowaniem w kampanię prezydencką w USA oraz referendum w sprawie Brexitu. Ponieważ spółka w ocenie ICO po 25 maja 2018 roku dalej przetwarza dane osobowe z naruszeniem prawa, podjęte zostały kroki przewidziane w RODO. W uwagi na uzależnienie wysokości kary od wyników finansowych przetwarzającego dane, sankcje dla AIQ mogą być bardzo dotkliwe.
