Immusec
PL | EN
Aktualności

RODO nie tylko na papierze – 59 tysięcy przypadków wycieków danych i rekordowa kara w wysokości 50 milionów euro

12.02.2019
|
IMMUSEC
Udostępnij:

 

Od czasu wprowadzenia RODO 25 maja 2018 roku zaraportowano ponad 59 tys. przypadków wycieków danych. W tym czasie nałożono także 91 kar finansowych na podmioty, które nie dopełniły wszystkich obowiązków wynikających z ustawy. Rekordowa kara to 50 milionów euro nałożona na Google.

Informacja o ukaraniu Google’a opieszałych zmobilizowała do działania, pasywnych wyrwała z letargu, sceptyków skłoniła do rewizji przekonań, a postronnych obserwatorów – do licznych komentarzy. Z wielu opinii wynika, że to tylko wierzchołek góry lodowej i podobne praktyki dopiero będą miały miejsce. Ich skala może być co prawda o wiele mniejsza, jednak jedno jest pewne: RODO obowiązuje i domaga się wdrożenia – nie tylko od światowych gigantów.

21 stycznia francuska Komisja ds. Informatyki i Wolności (CNIL, Commission Nationale de l’Informatique et des Libertés) nałożyła na Google grzywnę w wysokości 50 mln euro (57 mln dolarów) za naruszenie przepisów RODO. To prawdopodobnie najwyższa kara w historii obowiązywania rozporządzenia o ochronie danych w Unii Europejskiej. Sankcja jest wynikiem dwóch skarg, które zgłosiły dwie organizacje non profit walczące o prawa jednostek: None of Your Business i La Quadrature du Ne. Już w maju 2018 roku pod skargą podpisało się ok. 10 tysięcy osób fizycznych.

CNIL zarzucił firmie Google, że nie informuje wyraźnie użytkowników, co robi z ich danymi oraz w jakim zakresie udostępnia je reklamodawcom, a metody zbierania informacji przez firmę opisał jako „przytłaczające i inwazyjne”. Podstawowym zarzutem wobec Google’a był brak ważnej podstawy prawnej do przetwarzania danych osobowych na potrzeby personalizacji reklam dla poszczególnych osób, jednakże w toku postępowania organ zauważył kolejne uchybienia. Francuscy kontrolerzy zbadali ścieżkę zakładania konta Google na urządzeniach z Androidem oraz dokumenty i informacje dostępne dla nowych użytkowników. Okazało się, że treści wymagane przez RODO są rozproszone w wielu różnych miejscach. Informacje te można było uzyskać dopiero po 5 lub 6 kliknięciach, co jest naruszeniem obowiązku administratora danych. Dodatkowo organ zauważył, że treści nie są przedstawione w sposób przejrzysty i zrozumiały, a w odniesieniu do niektórych rodzajów danych nie został wskazany okres ich przechowywania.

W toku postępowania ustalono także, że zgody na personalizację reklam były niewystarczające oraz rozproszone w kilku różnych dokumentach. Ponadto treść klauzul była niejednoznaczna, ponieważ warunki, zakres i cele były „schowane” w dokumentach dostępnych pod dalszymi linkami. Przepisy RODO wymagają, aby zgody były konkretne i jednoznaczne, co oznacza, że użytkownik już w momencie ich wyrażania, bez klikania w dodatkowe linki, powinien wiedzieć, jaki jest zakres jego zgody. Wymierzając karę CNIL wziął pod uwagę między innymi rażący charakter naruszenia podstawowych obowiązków nakładanych przez przepisy RODO oraz znaczący udział urządzeń z systemem Android w rynku telefonów komórkowych.

Co na to wszystko Google? „Ludzie oczekują od nas wysokich standardów przejrzystości i kontroli. Jesteśmy głęboko zaangażowani w spełnianie tych oczekiwań i wymogów dotyczących RODO. Analizujemy decyzję, aby określić nasze kolejne kroki” – zapewnił rzecznik firmy. Google ma prawo odwołać się od grzywny. Co ciekawe, firma pokazała już, że nie jest jej po drodze z europejskimi regulacjami prawnymi. W 2018 roku Komisja Europejska nałożyła rekordową karę 4,3 mld euro na spółkę-córkę powołaną przez założycieli giganta, czyli Alphabet, która obecnie jest właścicielem Google. Grzywnę nałożono za naruszenie prawa antymonopolowego i była to najwyższa tego typu kara w historii. Komisja Europejska orzekła, że firma wymuszała na producentach smartfonów domyślne wykorzystywanie wyszukiwarki Google i przeglądarki Chrome.

Przepisy RODO zaczęły obowiązywać 25 maja 2018, pozwalając organom zajmującym się ochroną danych osobowych nakładać kary w wysokości do 20 mln euro lub 4% ogólnoświatowego obrotu z poprzedniego roku obrotowego firmy. Zastanawiano się wówczas, kogo może dotknąć podobna kara, typowano między innymi popularny portal społecznościowy Facebook. W ciągu tych kilku miesięcy obowiązywania RODO rzeczywiście zdarzały się liczne kontrole i sankcje. Na przykład 20 000 euro kary nałożono na niemiecki portal randkowy z powodu wycieku danych użytkowników.

W Polsce w okresie od 25 maja 2018 roku do 28 stycznia 2019 roku odnotowano 2200 przypadków wycieków danych. Mimo że polski organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) do dziś nie nałożył kary pieniężnej za naruszenie przepisów RODO, to kontrole przetwarzania danych osobowych u przedsiębiorców już się rozpoczęły. Niespodziewany wymiar kary nałożonej na Google powinien być pretekstem do inwentaryzacji danych i audytu zgodności z RODO w każdej organizacji i firmie.

Źródła:
https://www.money.pl/gospodarka/50-mln-euro-kary-dla-google-przez-rodo-6341033576564865a.html
https://businessinsider.com.pl/technologie/nowe-technologie/francja-ukarala-google-50-mln-euro-za-naruszenie-rodo/m419et9
https://www.rp.pl/Firma/301229964-RODO-Google-ukarany-50-mln-euro-za-naruszenie-ochrony-danych-osobowych.html
https://bezprawnik.pl/kara-za-nieprzestrzeganie-rodo/

Udostępnij:

Twitter @IMMUSEC

Nasze biura

offices

Kontakt:

ul. Mokotowska 1
00-640 Warszawa, Polska
Tel. +48 22 3797470
Fax. +48 22 3797479
Email: biuro@immusec.com

Posiadamy certyfikat ISO