Kara w wysokości ok 950 000 zł, jaką nałożyła Prezes UODO (Urząd Ochrony Danych Osobowych) na firmę, która jej zdaniem poprzez niewłaściwe zinterpretowanie przepisów zaniechała obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych osobowych stanowi precedens w działalności UODO, a zarazem budzi sporo kontrowersji wokół zasadności wydania takiej decyzji.
Wszyscy wiedzieli, że prędzej czy później napompowana RODO bańka pęknie, a na kogo wypadnie na tego bęc. Spółka, o której mowa, korzystając z danych powszechnie dostępnych w publicznych rejestrach przedsiębiorców weryfikujących wiarygodność podmiotów, tworzyła bazy danych i informowała o przetwarzaniu danych tylko tych, których adres mailowy znajdował się w rejestrze. Informacja taka nie dotarła do osób, do których zdaniem spółki bezpośrednie dotarcie było niemożliwe lub wymagałoby niewspółmiernego dużego wysiłku, co dopuszcza art. 14 ust. 5 lit. b RODO zwalniający podmiot przetwarzający z obowiązku informacyjnego w razie wystąpienia takich okoliczności. Prezes UODO swoją decyzję argumentuje faktem, że firma była świadoma konieczności wypełnienia obowiązków jakie nakładają przepisy RODO, miała możliwość ich spełnienia, a mimo tego pozbawiła praw wynikających z rozporządzenia o przetwarzaniu danych osoby, których dane znalazły się w posiadaniu spółki takich jak np. możliwości żądania usunięcia danych.
Jaki będzie finał sprawy tego jeszcze nie wie nikt. Firmie przysługuje prawo odwołania się od decyzji do sądu, ale tak naprawdę zarówno przedsiębiorcy, jak i organ nadzorczy stąpają po dziewiczym terenie, przecierając szlaki dla kolejnych incydentów. Ta sytuacja pokazuje, że wiele zagadnień dotyczących RODO w praktyce pozostaje niejasnych, a przedsiębiorcy poruszają się po omacku po przepisach.
Abstrahując od medialnego szumu i poszukiwania drugiego dna w decyzjach Prezes UODO warto spojrzeć na tę sytuację od innej strony i odpowiedzieć na pytanie, jak można się przed takimi zdarzeniami ustrzec. W momencie gdy w firmie dojdzie do incydentu, np. z wycieku danych lub będącego skutkiem nieprawidłowości związanych z przetwarzaniem danych, na firmę poza konsekwencjami finansowymi w postaci kary pieniężnej spada dodatkowy ciężar. Dochodzą koszty obrony prawnej, porad prawnych, ewentualnych odszkodowań, opłacenie specjalistów Public relations w przypadku poważnych i długofalowych skutków związane z nadszarpniętym wizerunkiem firmy. Co ważne, cybernetyczny kryzys może spowodować utratę zysków w firmie, znacznie wpłynąć na cenę akcji, a reputacja firmy i zarządu znacznie ucierpi.
Mądry Polak po szkodzie….
Przed wejściem w życiem RODO informowaliśmy, że faza wdrożenia RODO będzie fazą prób i błędów, na które będą mogli pozwolić sobie tylko nieliczni. W obecnej sytuacji pojawia się pytanie, czy warto igrać z UODO i czy chcemy pozwalać sobie na tak drogie błędy skoro są na rynku rozwiązania, które ograniczają skutki cyber incydentów, a co najważniejsze są bardziej opłacalne. Takim środkiem zapobiegawczym jest dobrze skonstruowana polisa ubezpieczeniowa. którą można mieć już za 1000 zł – to 100 razy mniej niż kwota jaką obarczono wspomnianą firmę.
Biorąc pod uwagę możliwe scenariusze wystąpienia szkód powstałych na skutek przetwarzania danych, jako przedsiębiorca i jako broker ubezpieczeniowy z kilkunastoletnim doświadczeniem, stworzyliśmy program ubezpieczeniowy. Posiada on szeroki zakres ryzyk cybernetycznych, chroniący przede wszystkim od błędu ludzkiego, który jest najczęstszą przyczyną cyber incydentów, a w nim również m.in: pokrycie kosztów porad prawnych związanych z postępowaniem prowadzonym przez organ uprawniony do nadzoru nad bezpieczeństwem i przechowywaniem danych, jak również kar administracyjnych nałożonych przez urząd, pokrycie kosztów specjalistycznych konsultantów oraz ekspertów ds. PR, prawników. Rozwiązania, które oferujemy w ramach współpracy z naszą kancelarią brokerską, umożliwiają firmom kontynuowanie normalnej działalności, gwarantując bezpieczeństwo innym obszarom działania w przypadku wystąpienia cyber incydentu.
Nie czekaj aż będziesz następnym Przedsiębiorcą na czarnej liście RODO. Porozmawiaj na ten temat z ekspertami PKB, którzy przedstawią Ci optymalne rozwiązania dopasowane do Twoich potrzeb. PKB Zawsze po Twojej stronie.
*Niniejsza informacja stanowi zawiadomienie o kształtowaniu się rynkowego ryzyka ubezpieczeniowego.
