Odpowiedź
Ogólne rozporządzenie o ochronie danych (RODO) daje organom ochrony danych różne możliwości na wypadek nieprzestrzegania przepisów niniejszego rozporządzenia:
- możliwe naruszenie – możliwość wydawania ostrzeżenia,
- naruszenie – dostępne możliwości obejmują upomnienie, wprowadzanie czasowego lub całkowitego zakazu przetwarzania, nałożenie kary pieniężnej w wysokości do 20 mln EUR lub 4% całkowitych rocznych obrotów firmy.
Warto pamiętać, że w przypadku naruszenia organ ochrony danych może zastosować karę pieniężną oprócz lub zamiast upomnienia i/lub zakazu przetwarzania.
Organ musi zapewnić, że kary zastosowane w każdym indywidualnym przypadku będą skuteczne, proporcjonalne i odstraszające. Powinien uwzględnić wiele okoliczności danej sytuacji, takich jak charakter, waga i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody poniesionej przez osoby fizyczne, stopień współpracy danej organizacji itd.
Przykład
Firma sprzedaje przez internet artykuły gospodarstwa domowego. Za pośrednictwem jej strony internetowej konsumenci mogą kupować sprzęt kuchenny, stoły, krzesła i inne przedmioty użytku domowego, wprowadzając przy tym swoje dane bankowe. Strona internetowa stała się celem ataku cybernetycznego, wskutek czego dane osobowe stały się dostępne dla atakującego. Przyczyną utraty danych był prawdopodobnie brak odpowiednich środków technicznych.
W tym przypadku organ nadzorczy weźmie pod uwagę różne czynniki, zanim wskaże, jakich środków naprawczych należy użyć. Są to między innymi takie czynniki: jak poważne były braki w systemie IT firmy? Jak długo infrastruktura IT była narażona na takie ryzyko? Czy w przeszłości przeprowadzono testy, aby zapobiegać takim atakom? Dane jakiej liczby klientów zostały wykradzione/ujawnione? Jakiego rodzaju dane osobowe ucierpiały – czy były wśród nich dane wrażliwe? Powyższe oraz inne kwestie zostaną wzięte pod uwagę przez organ nadzorczy.
Odnośniki
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.