RODO

Rekordowe kary za naruszenie RODO 

Ponad 1 mld złotych – kary na taką sumę w ciągu dwóch dni nałożył brytyjski odpowiednik Urzędu Ochrony Danych Osobowych (Information Commissioner Office) na dwie firmy.

Krzysztof Grabowski
2019-07-10
RODO

British Airways oraz sieć hoteli Marriott mają zapłacić odpowiednio 183 mln i 99 mln funtów brytyjskich. W obu przypadkach kary zastały nałożone za wyciek danych osobowych. Z baz danych obu firm zostało wykradzionych prawie 4% danych osobowych ludności na całym świecie. Największa ilość danych wyciekła z bazy Marriott – incydent dotyczy 339 mln klientów. 

Obie firmy mają możliwość odwołania się od decyzji ICO oraz negocjacji wysokości zaproponowanych przez kar.

Co należy zrobić w przypadku wykrycia wycieku danych?

Jeśli już dojdzie do sytuacji naruszenia bezpieczeństwa danych osobowych kluczowe jest jak najszybsze jego wykrycie i poinformowanie w ciągu 72 godzin od momentu wykrycia organ nadzorujący ochronę danych osobowych. W przypadku obu ukaranych przez ICO firm reakcja na incydent nie była natychmiastowa. Sieć Marriott czekała 4 lata na poinformowanie o tym zdarzeniu opinii publicznej i ofiar wycieku danych. British Airways natomiast wykrył naruszenie ponad 3 miesiące od momentu jego zajścia, co może świadczyć o niewystarczającym poziomie zabezpieczenia procesu. W przypadku utraty wrażliwych danych czas jest decydujący. W obu sprawach do nieuprawnionych osób trafiły bowiem  m.in. numery kard kredytowych klientów, w przypadku sieci Marriott także numery paszportów.

W przypadku naruszenia ochrony danych osobowych należy w jak najkrótszym czasie zadbać o bezpieczeństwo osób poszkodowanych. Kluczowa w tym procesie jest komunikacja , nakierowana na powiadomienie o incydencie i ostrzeżenie o potencjalnych ryzykach.

Przypadki wycieków danych w Polsce

W 2018 roku, od momentu wprowadzenia RODO,  do Urzędu Ochrony Danych Osobowych zostało zgłoszonych ponad 3 tysiące skarg. W kilkunastu przypadkach wyciek danych miał bardzo dużą skalę. W grudniu głośny na polskim rynku był przypadek masowego wycieku danych klientów sklepu internetowego Morele.net.  Wśród wykradzionych danych znajdowały się imiona i nazwiska, numer PESEL czy sytuacja finansowa 2,5 mln klientów firmy. Pięć miesięcy po poinformowaniu o wycieku osób poszkodowanych, w internecie zostały opublikowane hasła i loginy klientów.  Obecnie sprawa jest  wyjaśniana przez UODO.

Za naruszenie wymogów RODO firmom  grożą kary do 20 mln EUR lub sięgające 4 proc. rocznych globalnych obrotów przedsiębiorstwa.

Autor:

Krzysztof Grabowski

Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe Advartis

contact@crowe.pl