Czy ubezpieczenie od RODO uchroni od kary?
Wprowadzenie RODO, czyli unijnego rozporządzenia o ochronie danych wymogło wiele zmian w funkcjonowaniu przedsiębiorstw i instytucji, które przechowują i administrują osobiste informacje. Nowe przepisy dodatkowo napędzają sprzedaż wielu produktów, takich jak oprogramowanie zabezpieczające, szafki zamykane na klucz, a od pewnego czasu również specjalne polisy ubezpieczeniowe. Wielu ekspertów ostrzega jednak, że wykupienie takiego ubezpieczenia wcale nie musi uchronić nas przed karą za złamanie postanowień RODO.
- Alicja Skibińska
- /
- 7 stycznia 2020
Czy należy się bać kontroli UODO?
Nie należy się dziwić, że przedsiębiorcy drżą przed ewentualnymi sankcjami karnymi za niewystarczającą ochronę danych – zapowiadane kwoty są naprawdę imponujące. Warto jednak zastanowić się nad tym, jak duże jest prawdopodobieństwo kontroli. Organem uprawnionym do przeprowadzania tego typu inspekcji jest Urząd Ochrony Danych Osobowych (UODO), którego siedziba mieści się w Warszawie. Trudno oczekiwać, by organizacja ta prewencyjnie kontrolowała wszystkie podmioty uprawnione do przetwarzania danych osobowych, zwłaszcza, że jest ich naprawdę dużo. Ryzyko ściągnięcia na siebie jej zainteresowania wzrasta jednak w sytuacji, gdy firma dopuści się pogwałcenia praw do prywatności osób, których dotyczą administrowane przez nią informacje.
Największy problem stanowią sytuacje takie jak szkody majątkowe lub niemajątkowe osób fizycznych, dyskryminacja, naruszenie dobrego imienia, uszczerbek fizyczny, kradzież lub sfałszowanie tożsamości. Dlatego najlepszym środkiem zapobiegawczym wydaje się wdrożenie nowych, dostosowanych do RODO technologii i schematów funkcjonowania przedsiębiorstwa. Do wycieku danych osobowych może dojść np. poprzez kradzieże pracownicze, utratę sprzętów elektronicznych np. w wyniku włamania, różnego rodzaju awarie komputerów w przypadku nieposiadania kopii zapasowych baz danych lub przypadkowe ujawnienie informacji (np. przesłanie ich e-mailem lub opublikowanie na stronie internetowej).
Co grozi firmom, które nie chronią danych osobowych w dostatecznym stopniu?
Trudno się dziwić, że kary przewidziane przez ustawodawcę wywołują przyspieszone bicie serca u tak wielu właścicieli firm. W przypadku poważnego naruszenia ochrony danych osobowych RODO umożliwia nałożenie sankcji w wysokości:
do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) np. za: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; niewłaściwe zabezpieczenie danych osobowych (czyli nieuwzględniające obecnego stanu wiedzy technicznej, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych); brak współpracy z organem nadzorczym (przy czym to organ nadzorczy występuje z inicjatywą ewentualnej współpracy, jeśli zachodzi taka potrzeba), a także niezgłoszenie naruszenia ochrony danych osobowych lub niezawiadomienie o naruszeniu osób, których dane dotyczą;
do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) np. za: przetwarzanie danych osobowych niezgodnie z zasadami RODO (do których należą m.in. zasada minimalizacji danych, prawidłowości czy ograniczenia celu); przetwarzanie danych osobowych bez podstawy prawnej; niedotrzymanie warunków wyrażenia zgody na przetwarzanie danych osobowych (np. warunku dobrowolności zgody); niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (takich jak dane o stanie zdrowia, wyznaniu, orientacji seksualnej); nieprawidłowości w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych oraz niedopełnienie obowiązku w zakresie realizacji praw osoby, której dane dotyczą (np. obowiązku informacyjnego, prawa dostępu do danych, prawa do sprostowania itd.).
Podane wyżej sumy rzeczywiście zwalają z nóg, jednak należy podkreślić, iż nie mają one charakteru obligatoryjnego. W praktyce oznacza to, że nawet w przypadku wystąpienia uchybień organ nadzorczy nie ma obowiązku ich nałożenia. UODO dysponuje również całym wachlarzem innych, mniej dotkliwych sankcji karnych. Podczas nakładania kary urząd powinien wziąć pod uwagę takie czynniki jak charakter, waga oraz czas trwania nadużycia, umyślność lub nieumyślność, działania podjęte przez administratora danych w celu zminimalizowania powstałej szkody, stopień współpracy z organem nadzorczym, a także przeszłość administratora – jeśli był to jego pierwszy incydent, istnieje duża szansa na nieco łagodniejszą reakcję.
W wielu przypadkach UODO może decydować się też na zastosowanie tzw. uprawnień naprawczych, do których należą:
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
ostrzeżenia dotyczące możliwości naruszenia RODO poprzez planowane operacje,
upomnienia,
nakaz dostosowania operacji do przepisów RODO,
nakaz spełnienia żądania osoby, której dotyczą przetwarzane dane,
nakaz zawiadomienia tej osoby o naruszeniu ochrony danych,
czasowe lub całkowite ograniczenia, a także zakaz przetwarzania danych,
nakaz sprostowania, usunięcia danych osobowych lub ograniczenia ich przetwarzania,
nakaz zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej,
cofnięcie certyfikacji w przypadku niespełnienia jej wymogów.
Ubezpieczenia od RODO
Nowe zapotrzebowanie na rynku doprowadziło do wprowadzenia nowych produktów, m.in. tzw. RODO-polis, czyli ubezpieczeń chroniących przed utratą pieniędzy związaną z niedostateczną ochroną danych osobowych. Należy zaznaczyć, że każdy ubezpieczyciel indywidualnie definiuje zakres usługi. Zwykle tego typu polisy mają pokrywać ewentualne kary nałożone przez UODO, roszczenia osób poszkodowanych wyciekiem czy kradzieżą informacji, zabezpieczać przed żądaniem okupu za dane lub brać na siebie koszty związane ze znalezieniem przyczyn naruszenia bezpieczeństwa.
Czy ubezpieczenie rzeczywiście może ochronić nas przed karą?
Ubezpieczyciele przekonują, że wykupienie RODO-polisy stanowi skuteczny środek zabezpieczający przed nadprogramowymi kosztami. Eksperci nie są jednak zgodni co do tego, czy należy wierzyć tym zapewnieniom. Część prawników zwraca uwagę na wysokość dopuszczalnych sankcji za złamanie postanowień RODO i związaną z nią potrzebą zabezpieczenia firmy przed tak ogromnymi kosztami. Inni przekonują, iż polisa nie ochroni przedsiębiorstwa przed karami, zaś różnorodność dostępnych sankcji sprawia, że trudno jest zaprojektować precyzyjny produkt chroniący przed wszelkimi ich aspektami. Niezależnie od przyjętej perspektywy, warto dołożyć wszelkich starań, by zminimalizować ewentualne koszty.
Decydując się na polisę, przede wszystkim należy dokładnie przeanalizować ofertę, umowę oraz warunki ubezpieczenia pod kątem wyłączeń, czyli sytuacji, w których środki nie zostaną wypłacone. Pamiętajmy jednak, że najlepszym zabezpieczeniem przed karami przewidzianymi przez RODO jest prewencja, czyli wdrożenie odpowiednich procedur oraz rozwiązań technologicznych zabezpieczających przed naruszeniem ochrony danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?