Co się wydarzyło od wprowadzenia RODO?

Opublikowany: 2019-03-21

W dniu 25 maja 2018 roku, prawie dziesięć miesięcy temu, rozporządzenie o ochronie danych European General weszła w życie. Po ogromnym szumie wywołanym wprowadzeniem można się zastanawiać, czy nowe rozporządzenie w ogóle odniosło skutek. W rzeczywistości wiele się wydarzyło, nałożono grzywny i ostrzeżenia, wniesiono wiele pozwów.

Aby dać Ci przegląd miejsc, w których dochodzi do naruszenia ochrony danych, zebraliśmy grzywny, pouczenia i toczące się pozwy sądowe na podstawie RODO.

Kary nałożone na podstawie RODO

Przypadek 1: Kradzież danych użytkownika – Niemcy

Platforma czatu „Knuddels” została zhakowana, a hasła, pseudonimy i adresy e-mail zostały skradzione, ponieważ informacje te były przechowywane w postaci niezaszyfrowanej. Nieszyfrowane przechowywanie danych jest niewystarczającą ochroną danych osobowych. Narusza to zasadę domyślnej prywatności i prywatności w fazie projektowania wymaganej przez RODO.

Kara nałożona w tej sprawie wynosi 20 000 euro.
Źródło: Kradzież danych użytkownika – Niemcy (niemiecki)

Przypadek 2: Publikacja danych dotyczących zdrowia – Niemcy

Prawdopodobnie z powodu niezamierzonego błędu dane osobowe dotyczące zdrowia stały się dostępne online. (W tej sprawie nie ujawniono żadnych dalszych szczegółów). Również w tym przypadku naruszono zasadę domyślnej prywatności i prywatności w fazie projektowania, ponieważ zastosowano nieodpowiednie środki ochronne.

Grzywna wyniosła tutaj 80 000 euro.
Źródło: Publikacja danych zdrowotnych – niemiecki ( niemiecki )

Przypadek 3: brak/błędna zgoda użytkownika Google – Francja

Najwyższa jak dotąd kara została nałożona na Google. Pozew został złożony w dniu wejścia w życie RODO. W tym przypadku kara została oparta na naruszeniu obowiązku informacyjnego i transparentności oraz braku podstawy prawnej do stosowania reklam spersonalizowanych.

W tym przypadku nałożona kara wynosi 50 000 000 euro.
Quelle: brak zgody użytkownika Google
Oficjalny komunikat CNIL (francuskiego organu ochrony danych)

Łącznie od wejścia w życie RODO nałożono w Niemczech 41 grzywien w wysokości od 15 000 do 100 000 euro . Grzywny były uzasadnione kilkoma czynnikami:

  • hotel podjął nieodpowiednie środki techniczne i organizacyjne, który nie mógł wykluczyć możliwości ujawnienia danych karty kredytowej lub innych danych klienta z jego systemu rezerwacji w przypadku zwodniczego ataku hakerskiego,
  • publikacja danych dotyczących zdrowia w Internecie z powodu nieodpowiednich mechanizmów kontroli wewnętrznej,
  • błąd ludzki: ujawnienie danych zdrowotnych niewłaściwemu pacjentowi przez szpital,
  • rejestracja wszystkich połączeń wychodzących i przychodzących do straży pożarnej stanu Brema,
  • udostępnianie wyciągów osobom nieuprawnionym korzystającym z bankowości internetowej,
  • niedopuszczalne e-maile reklamowe ,
  • nieautoryzowana kopia danych klienta podczas ataku hakerskiego na sklep internetowy,
  • nieautoryzowane użycie Dashcam ,
  • otwarta lista dystrybucyjna e-maili ,
  • nieautoryzowany nadzór wideo klientów i pracowników.

W Europie od wejścia w życie RODO nałożono łącznie 91 grzywien .

Pouczenia i wyroki od wejścia w życie RODO

Przypadek 1: Strona internetowa bez szyfrowania

Sąd Okręgowy w Würzburgu zabronił prawnikowi korzystania z jej strony internetowej bez szyfrowania i bez wystarczającego oświadczenia o ochronie danych pod groźbą grzywny w wysokości 250 000 euro.
Źródło: Witryna bez szyfrowania (niemiecki)

Przypadek 2: Korzystanie z Facebook Custom Audience

Bawarski Krajowy Urząd Ochrony Danych zabronił sklepowi internetowemu korzystania z „Facebook Custom Audience”. Wyrok potwierdziły „Verwaltungsgericht” i „Verwaltungsgerichtshof”. Podanym tutaj powodem było wykorzystanie danych osobowych bez zgody odwiedzających.

Źródło: Wykorzystanie Facebook Custom Audience (niemiecki)

Sprawy sądowe w toku ze względu na RODO

  • Instagram (Belgia): Powód: niewystarczające informacje i wymuszona, brakująca lub niewystarczająca zgoda.
  • WhatsApp (Hamburg): Powód: niewystarczające informacje i wymuszona, brakująca lub niewystarczająca zgoda.
  • Facebook (Austria): Powód: niewystarczające informacje i wymuszona, brakująca lub niewystarczająca zgoda.
  • Austria: Austriacki Bank pobiera opłatę w wysokości 30 EUR za odzyskanie przechowywanych danych osobowych klienta dla tego klienta. Sąd orzekł na korzyść powoda, po czym bank wniósł odwołanie do sądu wyższej instancji, Federalnego Sądu Administracyjnego. Powodem decyzji sądu w tym przypadku była odmowa przyznania prawa do swobodnego udostępnienia przechowywanych danych osobowych.
  • Europejski Trybunał Sprawiedliwości: postępowanie przeciwko stosowaniu Tarczy Prywatności USA-UE (przykład Facebooka), ponieważ transfery do USA mogą być przechwytywane przez NSA zgodnie z prawem USA.
  • Wielka Brytania i Irlandia: Google i IAB zostały pozwane za licytowanie w czasie rzeczywistym (RTB) w reklamach. Według powoda systemy RTB codziennie dzielą setki miliardów punktów danych osobowych z innymi systemami bez zgody użytkownika. Udostępniane są nawet wrażliwe dane, takie jak „nadużycie, kazirodztwo lub status HIV”. Według powoda IAB wiedziała z góry, że jej system nie jest zgodny z RODO. Z kolei Google stara się przenosić obowiązek na strony wyświetlające reklamy w celu uzyskania zgody użytkownika.

Źródła:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Od wejścia w życie RODO ponad 59 000 wycieków danych zostało zgłoszonych europejskim organom ochrony danych. Kraje o największej liczbie zgłoszonych wycieków danych to Holandia z 15 400 wyciekami danych, Niemcy z 12 600 i Wielka Brytania z 10 600. Cypr z 35 raportami, Islandia z 25 i Liechtenstein z 15 to kraje o najmniejszej liczbie wycieków danych.

Bawarski Krajowy Urząd Nadzoru Ochrony Danych (BayLDA) sprawdził 40 stron internetowych firm o dużym zasięgu, aby sprawdzić, czy są one zgodne z RODO w zakresie zgody użytkownika i dokumentacji . Żadna z 40 firmowych stron internetowych nie wdrożyła poprawnie procesu uzyskiwania zgody użytkownika i poprawnych informacji o użytkowniku. Tutaj również istnieje groźba procesów sądowych i przestróg.

Jak widać, wiele się wydarzyło w dziedzinie ochrony danych w ciągu ostatnich dziesięciu miesięcy. Nowe rozporządzenie o ochronie danych zapewnia użytkownikom ważną podstawę prawną do ochrony ich danych osobowych. W związku z tym firmy są proszone o przestrzeganie nowych wymogów w zakresie ochrony danych i dobrze im doradza.

Należy pamiętać, że RODO i nowe wymagania dotyczą również szwajcarskich firm dostarczających swoje usługi i produkty obywatelom UE.