Kary za naruszenie przepisów RODO w zeszłym roku przekroczyły miliard dolarów

rodo-kary-dane-osobowe

Kwota ta jest prawie siedmiokrotnie wyższa od grzywien nałożonych w 2020 r. Unijne organy ochrony danych nałożyły grzywny w wysokości 1,25 miliarda dolarów za naruszenia ogólnego rozporządzenia o ochronie danych w UE od 28 stycznia 2021 r., poinformowała firma prawnicza DLA Piper w opublikowanym we wtorek raporcie.

Przepisy RODO obowiązują na terenie Unii Europejskiej od 2018 r. Według nich, wszystkie firmy działające na unijnym terenie są zobowiązane do wykazania jasnej podstawy prawnej do gromadzenia i przetwarzania danych osobowych swoich klientów. Dodatkowo, firmy muszą również powiadomić władze o każdym naruszeniu prywatności danych w ciągu 72 godzin od momentu zarejestrowania tego typu zdarzenia.

Nieprzestrzeganie tych zasad może poskutkować nałożeniem na dany podmiot wysokiej grzywny – do 4 proc. rocznych globalnych przychodów firmy lub 20 milionów euro, w zależności od tego, która z tych kwot jest większa.

Najwięcej kar za naruszenie przepisów RODO przyjęły firmy z sektora Big Tech

Luksemburski organ nadzorujący prywatność nałożył na Amazon grzywnę w wysokości 746 milionów euro (850 milionów dolarów), podczas gdy władze w Irlandii ukarały WhatsApp Inc. (Meta Platforms) karą w wysokości 225 milionów euro. Obie firmy są w trakcie odwoływania się od odpowiednich grzywien.

Firmy często wskazują, że przepisy dot. RODO mają kilka niedoprecyzowanych kwestii. W tym transgraniczne transfery danych między UE i USA. W 2020 r. Europejski Trybunał Sprawiedliwości wydał orzeczenie sejsmiczne unieważniające stosowanie ram Tarczy Prywatności, ram prawnych służących do przesyłania danych przez Atlantyk. Orzeczenie zostało nazwane „Schrems II”, na cześć austriackiego działacza na rzecz prywatności Maxa Schremsa, który pierwotnie wszczął sprawę.

Chociaż Tarcza Prywatności została unieważniona, Europejski Trybunał Sprawiedliwości utrzymał ważność standardowych klauzul umownych, kolejnego mechanizmu zapewniającego UE-USA przepływy danych zgodne z prawem. Wiele firm utrzymuje jednak, że konsekwencje tego orzeczenia pozostają nadal niejasne, gdyż głównym twierdzeniem orzeczenia jest to, że amerykański system ochrony danych nie jest równoważny z systemem UE.

Standardowe klauzule umowne (SCC), to zdecydowanie najpopularniejsza metoda legalnego przetwarzania takich transferów. Przynajmniej w teorii. W praktyce, irlandzka Komisja Ochrony Danych nakazała firmie Meta (czyli Facebook) zaprzestania używania SCC do wysyłania informacji o użytkownikach z Europy do USA, dopóki szczegółowo nie zbada tego procesu.

Czytaj również: Multikino wciska reklamy pod pretekstem ochrony danych osobowych

W kolejnym głośnym przypadku, austriacki organ ochrony danych stwierdził z kolei, że korzystanie z Google Analytics narusza RODO, ponieważ potencjalnie udostępnia dane użytkowników amerykańskim agencjom wywiadowczym. Co ciekawe, grzywna w tym przypadku, przynajmniej według austriackich urzędników powinna zostać nałożona na właściciela witryny, która korzysta z narzędzia Google’a, a nie na firmę Google.

Ta niepewność prawna powoduje, że z jednej strony firmy chcą odwoływać się od większości kar nałożonych ze względu na naruszenie RODO, a z drugiej wiele unijnych państw przesadza z ich nakładaniem, tworząc tym samym całkiem kosztowny, prawny bałagan. Eksperci apelują o jednolitą i szczegółową wykładnię dla RODO i ostrzegają, że przepisy w obecnej formie wygenerują jeszcze więcej chaosu i odwołań w kolejnych latach.