Kary finansowe na gruncie RODO

Od wejścia w życie RODO polski organ ds. ochrony danych nałożył kilkanaście kar za nieprzestrzeganie przepisów o ochronie danych osobowych. Warto zapoznać się z powodami, przez które firmy zostały ukarane i rozważyć, czy nasza organizacja jest dobrze przygotowana. Błędna interpretacja przepisów może sporo kosztować, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie.

Poniżej przedstawiamy zestawienie kar i powodów ich nałożenia wraz z linkiem do treści decyzji PUODO.

Kraj Data Wysokość kary w euro Ukarany Podmiot Naruszony przepis Opis Decyzja
Polska 03.06.2020 1.168 EUR Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole Art. 31 RODO, Art. 58 RODO Kara za brak odpowiedzi na wnioski urzędu ochrony danych o dalsze informacje w odpowiednim czasie po naruszeniu danych. link
Polska 08.09.2020 11.200 EUR Szkoła Główna Gospodarstwa Wiejskiego w Warszawie Art. 32 RODO Kradzież prywatnego laptopa pracownika, który również korzystał z tego urządzenia w celach służbowych i na którym znajdowały się dane osobowe kandydatów na studia w SGGW do działań rekrutacyjnych. link
Polska 31.08.2020 22.700 EUR Geodeta Generalny Polski („GKK”) Art. 5 RODO, Art. 6 RODO Przetwarzanie danych osobowych na platformie GEOPORTAL2 w postaci ksiąg wieczystych (w tym imion, nazwisk i innych danych osobowych) bez wystarczającej podstawy prawnej. link
Polska 15.07.2020 22.300 EUR Biuro Geodezji i Kartografii Art. 31 RODO, Art. 58 RODO Niewystarczająca współpraca z organem nadzorczym link
Polska 10.07.2020 3.400 EUR East Power Sp. z o.o. Art. 31 RODO, Art. 58 RODO Po trzech wezwaniach do East Power, w których ta ostatnia nie przedstawiła wystarczających wyjaśnień w sprawie skargi dotyczącej marketingu bezpośredniego, Urząd Ochrony Danych Osobowych stwierdził, że East Power celowo utrudniało przebieg postępowania lub przynajmniej nie wywiązywało się ze swoich zobowiązań dotyczących współpracy z organem nadzorczym. link
Polska 09.03.2020 4.000 EUR Vis Consulting Sp. z o.o. Art. 31 RODO, Art. 58 RODO Firma uniemożliwiła Urzędowi Ochrony Danych Osobowych przeprowadzenie kontroli. link
Polska 04.03.2020 4.600 EUR Szkoła w Gdańsku Art. 5 RODO, Art. 9 RODO Szkoła w Gdańsku wykorzystała biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Chociaż rodzice wyrazili pisemną zgodę na takie przetwarzanie danych, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie. link
Polska 16.10.2019 47.000 EUR ClickQuickNow Art. 5 RODO UODO nałożyło grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych. link
Polska 18.10.2019 9.380 EUR Burmistrz Aleksandrowa Kujawskiego Art. 28 RODO Nie zostałą zawarta umowa powierzenia przetwarzania danych osobowych z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim. Z tego powodu na burmistrza miasta nałożono grzywnę w wysokości 40 000 PLN (9400 EUR). link 
Polska 10.09.2019 644.780 EUR Morele.net Art. 32 RODO Polski organ ochrony danych nałożył na Morele.net grzywnę w wysokości ponad 2,8 mln PLN (ok. 644 780 EUR) za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do ​​nieuprawnionego dostępu do danych osobowych 2,2 mln osób. link
Polska 25.04.2019 12.950 EUR Związek sportowy Art. 6 RODO Związek sportowy opublikował dane osobowe dotyczące sędziów, którym przyznano licencje sędziego drogą internetową.: imiona i nazwiska, a także dokładne adresy i numery PESEL. Tymczasem nie ma podstawy prawnej, aby tak szeroki zakres danych dotyczących sędziów był dostępny w Internecie. Ujawniając je, Administrator stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywać się pod nich w celu zaciągania pożyczek lub innych zobowiązań. Chociaż Związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO (polski organ nadzorczy) o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, determinował nałożenie kary. Przy ustalaniu wysokości grzywny (55 750,50 zł) Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczył on dużej grupy osób (585 sędziów). UODO stwierdziło, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wzięło również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem a organem nadzorczym lub brak dowodów, że szkoda została wyrządzona osobom, których dane zostały ujawnione. link

Źródło: GDPR Enforcement Tracker

 

Scroll to top