Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Stępione pazury rodo, czyli proporcjonalność

21-01-2021 Autor: Tomasz Borys

Niemiecki sąd obniżył nałożoną grzywnę o ponad 90%. Organ ochrony danych został upomniany, że nie może nakładać nieracjonalnie wysokiej kary. Dlaczego do tego doszło? Czy zastosowano koncepcję obliczania grzywien? Przyjrzyjmy się tej sprawie.

 

Przez wiele lat obserwowaliśmy, że prawo ochrony danych istniało tylko na papierze, a jego stosowanie było nieskuteczne. Miało się to zmienić wraz z wejściem w życie rodo i groźbą sankcji nawet do wysokości 20 mln euro lub 4% światowego obrotu przedsiębiorstwa. Niemieckie organy nadzorujące ochronę danych (jest ich 17 na szczeblu landów i 1 krajowy) w połowie października 2019 r. opublikowały koncepcję obliczania grzywien, w której, w bardzo dużym uproszczeniu, dzienną stawkę wynikającą ze sprzedaży mnoży się przez współczynnik odpowiadający powadze naruszenia, a następnie wysokość kary może być korygowana zgodnie z przesłankami oceny sankcji wynikającymi z art. 83 ust. 2 rodo.


Rekordowa kara za celowe działania


30 października 2019 r. berlińska Pełnomocnik Ochrony Danych i Wolności Informacji nałożyła grzywnę w wysokości około 14,5 mln euro na firmę z branży nieruchomości – Deutsche Wohnen. Według organu ochrony danych ukarana firma od lat nielegalnie przechowywała dane (także byłych) najemców, w tym wyciągi z wynagrodzeń, umowy o pracę, dane podatkowe, ubezpieczeniowe, a nawet wyciągi z rachunków bankowych. Kara jest rekordowa, ponieważ były to działania celowe.


Ilekroć słyszymy o kolejnej grzywnie w Niemczech, zazwyczaj nakładana jest przez organ na szczeblu kraju związkowego. W grudniu 2019 r. mogliśmy się dowiedzieć o drugiej co do wysokości niemieckiej wielomilionowej karze grzywny z tytułu naruszenia rodo. Nałożona została przez organ federalny, odpowiedzialny za monitorowanie przestrzegania ochrony danych we wszystkich federalnych agencjach publicznych, takich jak: ministerstwa, siły zbrojne, służby celne, a także firmy ubezpieczeniowe, telekomunikacyjne i pocztowe. Grzywna w wysokości 9 mln 550 tys. euro nałożona została na dostawcę usług telekomunikacyjnych 1&1 Telecom GmbH. Podstawą wszczęcia przez organ federalny postępowania przeciwko spółce 1&1 było zawiadomienie policji z 31 stycznia 2019 r. o prowadzonym postępowaniu w sprawie stalkingu na podstawie skargi klienta spółki telekomunikacyjnej. Jego była partnerka skontaktowała się z centrum obsługi telefonicznej i udając jego żonę, zweryfikowała się imieniem, nazwiskiem i datą urodzenia klienta. Tak uzyskała jego nowy numer telefonu, który wykorzystała do nękania byłego partnera. Była to jedyna skarga wniesiona na 1&1.


Zarzut dotyczył braku odpowiednich środków technicznych i organizacyjnych, które powinny być stosowane w celu bezpiecznego uwierzytelniania rozmówców telefonicznej obsługi klienta, co miało umożliwiać osobom nieuprawnionym uzyskanie informacji o danych klientów. W toku prowadzonego od 25 marca 2019 r. postępowania ustalono, że klienci w celu uwierzytelnienia byli proszeni o podanie nazwiska, imienia i daty urodzenia. Organ ochrony danych stwierdził, że zastosowana metoda uwierzytelnienia była zbyt łatwa do złamania i przy niewielkim wysiłku osoby trzecie mogły uzyskać informacje praktycznie o wszystkich danych zgromadzonych przez spółkę, i w konsekwencji uznał tę procedurę za naruszenie art. 32 rodo. Federalny Pełnomocnik Ochrony Danych i Wolności Informacji (Der Bundesbeauf­tragte für den Datenschutz und die Informationsfreiheit – BfDI) Ulrich Kelber tak skomentował swoją decyzję: „Ochrona danych to ochrona praw podstawowych. Nałożona grzywna jest wyraźnym znakiem, że będziemy egzekwować tę ochronę praw podstawowych. Europejskie ogólne rozporządzenie o ochronie danych (RODO) daje nam możliwość zdecydowanego ukarania za niedostateczne bezpieczeństwo danych osobowych”.


Od początku postępowania spółka ściśle współpracowała z organem nadzorczym. Jako rozwiązanie tymczasowe 8 maja 2019 r. wprowadzono uwierzytelnianie przy użyciu numeru klienta lub numeru umowy, daty urodzenia lub adresu e-mail oraz czterech ostatnich cyfr numeru konta bankowego. Od 9 grudnia 2019 r. kosztem 5 mln euro wprowadzono nową metodę uwierzytelniania. Rozmówcy musieli uwierzytelniać się za pomocą 5-cyfrowego kodu PIN, który został wysłany do klienta pocztą e-mail lub pocztą tradycyjną. W komunikacie organu nadzorczego stwierdzono, że niezależnie od podjętych środków zaradczych nałożenie grzywny było konieczne, ponieważ naruszenie zasad ochrony danych stanowiło zagrożenie dla całej bazy klientów, jednak wysokość kary ustalono w dolnym przedziale możliwego zakresu.


Warto dodać, że wartość rocznego obrotu spółki 1&1 w latach 2018 i 2019 wyniosła odpowiednio 3,634 oraz 3,764 mld euro. Roczny obrót spółki macierzystej Unitet Internet w 2018 r. wyniósł 5,131 mld euro. Zysk wyniósł odpowiednio około 406 mln euro w 2018 r. i około 373 mln euro w 2019 r.


Dostawca usług telekomunikacyjnych poddał tę decyzję ocenie sądu. Według opinii dr Julii Zirfas – inspektora ochrony danych 1&1, nałożona kara jest nieproporcjonalna, a tym samym narusza ustawę zasadniczą (Grundgesetz für die Bundes­republik Deutschland), skoro niewielkie uchybienie w indywidualnym przypadku prowadzi do nałożenia grzywny mierzonej od obrotu grupy. Drobne naruszenie ochrony danych nie mogło jej zdaniem doprowadzić do masowego ujawnienia danych osobom nieuprawnionym.


Argumenty 1&1. Konflikt prawa krajowego i rodo


Czy w prawie niemieckim możliwe jest nałożenie grzywny na firmę? Z jednej strony taka możliwość była już wcześniej kwestionowana przez wielu niemieckich prawników. Zgodnie z § 41 federalnej ustawy o ochronie danych (BDSG) do kar wynikających z rodo mają zastosowanie przepisy o wykroczeniach administracyjnych – Gesetz über Ordnungswidrigkeiten (dalej: OWiG). Warunki, na jakich można nałożyć kary na firmy, określone są w § 30 i 130 OWiG. Zgodnie z § 30 OWiG grzywnę na firmę można nałożyć tylko wówczas, jeśli organ lub pracownik zajmujący kierownicze stanowisko popełnił przestępstwo lub wykroczenie oraz jeśli to naruszyło zobowiązania firmy lub doprowadziło do wzbogacenia. Z drugiej strony niemiecki prawodawca w § 130 OWiG pozwala na nałożenie grzywny, jeśli właściciel lub organ wykonawczy umyślnie lub w wyniku zaniedbania nie podejmuje działań, które są niezbędne, aby zapobiec naruszeniu prawa. Zatem samo naruszenie ochrony danych nie jest wystarczające do nałożenia grzywny bez zidentyfikowania konkretnego pracownika na stanowisku kierowniczym odpowiedzialnego za naruszenie ochrony danych.


Powoływano się przy tym na orzecznictwo w Austrii, gdzie sytuacja prawna pokrywa się z niemieckim stanem prawnym. Austriacki Federalny Sąd Administracyjny w sprawie dotyczącej nielegalnego monitoringu (W211 2208885-1/19E) uznał, że nałożenie grzywny na spółkę, bez wskazania konkretnej osoby odpowiedzialnej, było niezgodne z prawem, i uchylił grzywnę w całości. Całkiem niedawno, ale już po rozstrzygnięciach dotyczących 1&1, austriacki Federalny Sąd Administracyjny z tych samych przyczyn uchylił grzywnę w wysokości 18 mln euro dla austriackiej poczty.

 

Wysokość grzywny


W odniesieniu do wysokości grzywny obrona zarzuciła, że jest ona zdecydowanie za wysoka. Obroty spółki były co prawda wyliczone prawidłowo, jednak nie uwzględniono żadnych okoliczności łagodzących. Nie uwzględniono wysokich kosztów poniesionych przez spółkę na wdrożenie nowego mechanizmu uwierzytelniania. Ponadto wyliczenie wysokości grzywny, zdaniem spółki, nie musi być oparte na obrotach, ale na zysku i to nie zysku grupy przedsiębiorstw, a pojedynczego przedsiębiorstwa.

 

[...]

 

Autor jest specjalistą w dziedzinie ochrony danych osobowych.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.