Polski e-biznes w obliczu RODO. Przegląd sankcji 2022-2023

RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych, to regulacja wprowadzona przez Unię Europejską w 2018 roku. Jej głównym celem jest ochrona prywatności obywateli UE. Chociaż RODO dotyczy wszystkich sektorów gospodarki, wobec e-commerce organ nadzorczy ma szczególne wymagania ze względu na dużą ilość danych osobowych, które przetwarza. W praktyce oznacza to, że sklepy internetowe muszą być bardzo ostrożne w zakresie zbierania, przechowywania i przetwarzania danych swoich klientów.

Polski e-biznes w obliczu RODO. Przegląd sankcji 2022-2023
Monika Świetlińska 26 września 2023

RODO w kontekście e-commerce

Ochrona danych osobowych jest kluczowym elementem prowadzenia biznesu w sieci. Dlatego Ogólne Rozporządzenie o Ochronie Danych Osobowych, które chroni konsumentów, ma dziś tak ogromne znaczenie. 

Jak nowy wyrok TSUE wpłynie na działalność e-sklepów?Jak nowy wyrok TSUE wpłynie na działalność e-sklepów?Monika Świetlińska

Dlaczego w szczególności e-commerce musi dostosować się do wymagań RODO?

  • Sklepy internetowe zbierają różnorodne dane od swoich klientów - od podstawowych informacji kontaktowych, przez historię zakupów, po dane dotyczące nawigacji na stronie. Te informacje są niezbędne do realizacji zamówień, ale także stanowią cenne źródło wiedzy o zachowaniach i preferencjach klientów.
  • Wiele procesów w e-commerce jest zautomatyzowanych, co oznacza, że dane są przetwarzane, analizowane i przechowywane przez systemy informatyczne. To z kolei wymaga odpowiednich zabezpieczeń i procedur, aby zapewnić ich bezpieczeństwo.
  • Jednym z kluczy do sukcesu w e-commerce jest personalizacja oferty dla klienta. Oznacza to zbieranie i analizowanie danych w celu dostosowywania oferty do indywidualnych potrzeb klienta. Jednakże, działania te muszą być prowadzone w zgodzie z RODO.

I tu pojawia się kolejne pytanie: jak sklepy internetowe mogą dostosować się do wymogów RODO? Są na nie minimum cztery odpowiedzi:

  1. Poprzez zachowanie transparentności. Klienci powinni wiedzieć, jakie ich dane są zbierane, w jakim celu i jak są one przetwarzane. Oznacza to konieczność posiadania jasnej i zrozumiałej polityki prywatności.

  2. Przez respektowanie prawa do dostępu i sprostowania. Klienci mają prawo wiedzieć, jakie ich dane są przechowywane i mają prawo żądać ich sprostowania lub usunięcia.

  3. Przez zabezpieczenie danych. Sklepy muszą zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne, aby chronić dane swoich klientów przed utratą, zmianą czy nieuprawnionym dostępem.

  4. Poprzez ograniczenie przetwarzania. Dane powinny być przetwarzane tylko w niezbędnym zakresie i przez niezbędny czas.

Jak unikać klauzul niedozwolonych w regulaminie strony internetowej?Jak unikać klauzul niedozwolonych w regulaminie strony internetowej? Monika Świetlińska

RODO wprowadziło wiele wyzwań dla sektora e-commerce, ale jednocześnie stanowi ważny krok w kierunku ochrony prywatności konsumentów w sieci. Dostosowanie się do jego wymogów nie tylko pomaga unikać potencjalnych kar, ale także buduje zaufanie klientów i wzmacnia reputację marki.

Kiedy UODO wszczyna postępowanie wyjaśniające?

Urząd Ochrony Danych Osobowych (UODO) jest głównym organem w Polsce odpowiedzialnym za nadzór nad przestrzeganiem RODO. UODO może wszcząć postępowanie wyjaśniające, gdy istnieją podstawy do przypuszczenia, że doszło do naruszenia przepisów. Często jest to wynik skargi złożonej przez osobę, która uważa, że jej prawa zostały naruszone. Jednak nie każda nieprawidłowość czy skarga skutkuje automatyczną kontrolą. Jak więc wygląda praktyka działania UODO w tym zakresie?

Po pierwsze, kontrole branżowe. Prezes UODO co roku określa plan kontroli branżowych. Są to kontrole skierowane do konkretnych sektorów gospodarki. Plan tych kontroli jest ogłaszany publicznie na początku roku. W praktyce oznacza to, że wybrane podmioty z danej branży są poddawane kontroli. Jednak nie jest to masowe działanie — w skali kraju kontrolowane jest jedynie kilka czy kilkanaście organizacji.

Po drugie, postępowanie skargowe. Jeśli osoba fizyczna uważa, że jej prawa w zakresie ochrony danych osobowych zostały naruszone, może złożyć skargę do UODO. Postępowanie w tej sprawie odbywa się zgodnie z przepisami Kodeksu postępowania administracyjnego i jest jednoinstancyjne. Oznacza to brak możliwości odwołania się od decyzji UODO w ramach ponownego postępowania administracyjnego. Jedyną drogą odwoławczą jest skarga do Wojewódzkiego Sądu Administracyjnego. Takie rozwiązanie ma swoje korzenie w przeszłości, kiedy to dwuetapowe postępowanie prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych doprowadziło do przeciążenia urzędu.

W trakcie postępowania skargowego, UODO wzywa administratora danych do złożenia wyjaśnień w sprawie. Pismo zawiera konkretne pytania wynikające ze złożonej skargi. Ważne jest podkreślenie, że nie każda skarga automatycznie inicjuje kontrolę. Często sprawy załatwiane są na etapie korespondencji pomiędzy stronami. Jeśli UODO uzna, że dostarczone wyjaśnienia są wystarczające, informuje strony o zebranych dowodach i wydaje decyzję. W sytuacji, gdy materiał dowodowy jest niewystarczający, administrator danych jest wzywany do uzupełnienia wyjaśnień.

Jak zabezpieczyć swój e-sklep przed zmianami prawnymi?Jak zabezpieczyć swój e-sklep przed zmianami prawnymi? Monika Świetlińska

Jeżeli szukasz wsparcia prawnego swojego e-biznesu

zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

Warto więc pamiętać, że działania UODO w zakresie kontroli i postępowań skargowych są precyzyjnie określone i mają na celu zapewnienie skutecznej ochrony danych osobowych obywateli. Jednocześnie urząd dąży do efektywnego i sprawiedliwego rozpatrywania zgłoszonych spraw.

Konsekwencje niestosowania RODO

Unijne rozporządzenie o ochronie danych osobowych nałożyło na administratorów nowe obowiązki, a podmiotom danych przyznało wiele szeroko pojęte prawa. Chodzi o:

  • prawo dostępu do danych 
  • prawo do sprostowania danych 
  • prawo do bycia zapomnianym 
  • prawo do ograniczenia przetwarzania danych 
  • prawo do przenoszenia danych 
  • prawo do sprzeciwu 

Za ich naruszenie prezes UODO na podstawie art. 58 ust. 2 RODO może np.:

  • wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
  • udzielać upomnień w przypadku naruszenia RODO,
  • nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
  • wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania,
  • nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną. 

W świetle przepisów RODO, kary za naruszenie przepisów dotyczących ochrony danych osobowych mogą być nałożone w następujących wysokościach:

  1. do 10 000 000 euro lub, w przypadku przedsiębiorstwa, do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa.
  2. do 20 000 000 euro lub, w przypadku przedsiębiorstwa, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa.
  3. do 100 000 złotych.
  4. do 10 000 złotych.

Od września 2023 e-sprzedawcy pod lupą skarbówkiOd września 2023 e-sprzedawcy pod lupą skarbówkiMonika Świetlińska

Warto zwrócić uwagę, że konkretne kwoty kar są ustalane indywidualnie w zależności od charakteru i skali naruszenia, a także innych okoliczności danego przypadku.

Przegląd wybranych sankcji 2022-2023

Między 1 stycznia 2022 a 22 września 2023 prezes UODO wydał 419 decyzji, z czego 39 dotyczyło sektora prywatnego.

Oto wybrane decyzje z sektora prywatnego:

21 czerwca 2023: decyzja dotyczyła nałożenia administracyjnej kary pieniężnej na firmę H. Sp. z o. o. z siedzibą w Warszawie za naruszenie przepisów Rozporządzenia 2016/679. Naruszenie polegało na niezapewnieniu prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań. W wyniku tego, firma została ukarana kwotą 33 012 zł. Decyzja była wynikiem skargi R. B. dotyczącej nieprawidłowości w procesie przetwarzania jego danych osobowych przez wspomnianą firmę, która polegała na udostępnieniu jego danych osobowych podmiotowi trzeciemu bez podstawy prawnej. Mimo wielokrotnych wezwań, firma nie udzieliła odpowiedzi na żądania Prezesa UODO.

2 czerwca 2023: decyzja dotyczyła firmy handlowej T. sp. z o.o. z siedzibą w K., która została oskarżona o naruszenie przepisów Rozporządzenia 2016/679, polegające na braku współpracy z prezesem Urzędu Ochrony Danych Osobowych oraz na niezapewnieniu prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań. Skarga została wniesiona przez J. M., który zarzucił firmie nieprawidłowości w procesie przetwarzania jego danych osobowych, w tym udostępnienie jego numeru telefonu podmiotom nieuprawnionym. Pomimo wielokrotnych prób uzyskania wyjaśnień od firmy przez prezesa UODO, firma nie odpowiedziała na żadne z wezwań. W wyniku tego prezes UODO nałożył na firmę T. sp. z o.o. administracyjną karę pieniężną w kwocie 18 864 zł za naruszenie wspomnianych przepisów.

25 stycznia 2023: decyzja dotyczy firmy "E. Spółka z o.o." z siedzibą we Wrocławiu. Prezes Urzędu Ochrony Danych Osobowych nałożył na nią administracyjną karę pieniężną w kwocie 22 848 zł za niewykonanie wcześniejszego nakazu decyzji administracyjnej z dnia 6 maja 2021 roku. Firma miała usunąć dane osobowe pewnej osoby, ale nie zastosowała się do tego nakazu. Mimo wezwań ze strony UODO, firma nie dostarczyła dowodów wykonania nakazu ani nie odpowiedziała na wezwania.

Jak zwiększyć zaufanie klientów do Twojego sklepu internetowego?Jak zwiększyć zaufanie klientów do Twojego sklepu internetowego?Monika Świetlińska

30 grudnia 2022: decyzja dotyczyła nałożenia administracyjnej kary pieniężnej na firmę K. S.A. z siedzibą w K. świadczącą usługi pośrednictwa finansowego stacjonarnie oraz online za naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679. J. M. zaskarżył nieprawidłowości w procesie przetwarzania jego danych osobowych przez K. S.A., polegające na udostępnieniu jego danych osobowych podmiotom nieuprawnionym. Pomimo wielokrotnych prób skontaktowania się ze Spółką i wezwań do udzielenia wyjaśnień, firma nie odpowiedziała na żadne z pism UODO. W związku z tym Prezes UODO podjął decyzję o nałożeniu kary pieniężnej w wysokości 27 418 zł.

29 grudnia 2022: w marcu 2021 r., UODO otrzymał informację od prezesa zarządu spółki S. sp. z o.o. zajmującej się sprzedażą online o możliwym naruszeniu ochrony danych osobowych w spółce, polegającym na kradzieży danych przez pracownika tej firmy. Mimo wielokrotnych prób uzyskania niezbędnych informacji od firmy, spółka nie odpowiedziała na żądania UODO. W wyniku tego naruszenia na firmę nałożono administracyjną karę pieniężną w kwocie 36.558 zł.

3 listopada 2022: decyzja dotyczy naruszenia przez P4 Sp. z o.o. przepisów Prawa telekomunikacyjnego oraz rozporządzenia 611/2013. Spółka nie poinformowała Prezesa UODO o naruszeniu danych osobowych w terminie 24 godzin od wykrycia takiego naruszenia. Dodatkowo, nie powiadomiła osoby, której dane dotyczyły o tym naruszeniu. Naruszenie polegało na błędnej wysyłce umowy zawierającej dane osobowe do nieuprawnionej osoby trzeciej. Prezes UODO nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250.000 zł.

25 maja 2022: UODO stwierdził naruszenie przez W. S. prowadzącą sklep internetowy przepisów dotyczących ochrony danych osobowych. Naruszenie związane było z niewłaściwym zabezpieczeniem systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Incydent polegał na możliwości nieuprawnionego dostępu do katalogów strony internetowej sklepu, co prowadziło do naruszenia danych osobowych klientów. Ponadto W. S. nie zgłosiła naruszenia ochrony danych osobowych do prezesa UODO w wymaganym terminie 72 godzin od stwierdzenia naruszenia. UODO udzielił W. S. upomnienia oraz nakazał dostosowanie operacji przetwarzania do przepisów ochrony danych, w tym przeprowadzenie analizy ryzyka i wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.

Zarzuty UOKiK. Przedsiębiorcy nie podają najniższych cen przed promocjąZarzuty UOKiK. Przedsiębiorcy nie podają najniższych cen przed promocjąMonika Świetlińska

22 stycznia 2022: Fortum Marketing and Sales Polska S.A. naruszyło przepisy dotyczące ochrony danych osobowych, nie wdrożyło odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, co skutkowało naruszeniem ich poufności. Ponadto nie dokonano weryfikacji podmiotu przetwarzającego, czyli PIKA Sp. z o.o., w zakresie zapewnienia odpowiednich gwarancji wdrożenia środków technicznych i organizacyjnych. W wyniku tych działań, dane osobowe 137 314 klientów Fortum zostały naruszone. Fortum Marketing and Sales Polska S.A. zostało ukarane administracyjną karą pieniężną w wysokości 4 911 732 zł. PIKA Sp. z o.o. została ukarana administracyjną karą pieniężną w wysokości 250 135 zł.

19 stycznia 2022: Decyzja dotyczy naruszenia przez Santander Bank Polska S.A. przepisów RODO polegającego na niezawiadomieniu o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Bank został ukarany administracyjną karą pieniężną w wysokości 545.748 zł. Naruszenie polegało na tym, że były pracownik banku, któremu nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS) po zakończeniu stosunku pracy, miał nieuprawniony dostęp do tej platformy. W wyniku tego mógł on przeglądać dane pracowników banku, takie jak imiona i nazwiska, numery PESEL, adresy zamieszkania oraz informacje o zwolnieniach lekarskich, które stanowią dane dotyczące zdrowia. Bank został zobowiązany do zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych w ciągu 3 dni od doręczenia decyzji.

Czy ten artykuł był przydatny?

Tagi: prawo
Udostępnij: