Ostatnimi czasy głośnie jest w temacie grzywny, którą otrzymał znany serwis należący do META IE – Facebook na podstawie decyzji Europejskiej Rady Ochrony Danych z dnia 13 kwietnia 2023 r. za naruszenie przepisów związanych z ochroną danych osobowych.
Wprowadzenie.
Facebook nielegalnie przekazywał dane osobowe europejskich użytkowników do Stanów Zjednoczonych. W wyniku postępowania prowadzonego przez irlandzki organ nadzorczy ustalono, że proceder ten trwał od 2020 r.
Jakich naruszeń dopuściła się META PLATFORMS?
W tym miejscu należy wyjaśnić, za co dokładnie META IE została ukarana oraz do czego została zobowiązana na mocy decyzji EROD z dnia 13 kwietnia 2023 r., która została uwzględniona podczas wydawania decyzji przez irlandzki organ nadzorczy, który prowadził przedmiotowe postępowanie. META została ukarana za przekazywanie danych osobowych użytkowników europejskich do Stanów Zjednoczonych na podstawie standardowych klauzul umownych począwszy od 16 lipca 2020 r., z naruszeniem obowiązujących przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO”. Dodatkowo należy wskazać, że spółka META IE została zobowiązana do dostosowania swoich wewnętrznych procedur i operacji przekazywania danych osobowych do przepisów RODO w terminie 6 miesięcy od podjęcia ostatecznej decyzji przez irlandzki organ nadzorczy. W dużym uproszczeniu chodzi o doprowadzenie operacji przetwarzania do zgodności z RODO (dokładnie zaś z rozdziałem V RODO), poprzez zaprzestanie niezgodnego z prawem przetwarzania, w tym przechowywania w Stanach Zjednoczonych danych osobowych europejskich użytkowników.
Wiążąca decyzja Europejskiej Rady Ochrony Danych.
W tym miejscu należy wskazać, że decyzja EROD była wiążąca na podstawie art. 65 ust. 1 lit. a RODO – „aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje jeżeli w przypadku, o którym mowa w art. 60 ust. 4 RODO, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia.”.
Ponad miliard euro kary za naruszenie danych osobowych.
Kara 1,2 mld EURO stanowi rekordową sankcję finansową w zakresie walki ochroną danych osobowych. To właśnie skala naruszenia przepisów RODO spowodowała, że punktem wyjścia d o obliczenia wymiaru kary pieniężnej były wartości od 20% do 100% obowiązującego ustawowego maksimum. Kara ta z pewnością wywołała spore poruszenie w mediach i znacząco napiętnowała serwis Facebook w zakresie nienależytej ochrony danych swoich użytkowników. Miejmy nadzieję, że kazus spółki META IE, okaże się wystarczającym zniechęceniem dla innych podmiotów gospodarczych, których procedury wewnętrzne nie są dostosowane do standardów RODO, którzy codziennie łamią obowiązujące przepisy prawa w zakresie ochrony danych osobowych.
Dlaczego należyta ochrona danych osobowych jest tak ważna?
Standardy RODO zostały opracowanie właśnie w celu ochrony szczególnej wartości, którą są dane osobowe. Dane osobowe, które każdego dnia są przedmiotem sporów, transakcji, wymiany etc. Należyta ich ochrona może skutecznie przyczynić się do respektowania podstawowych zasad związanych z legalnością przetwarzania danych osobowych, unikaniem wycieków danych osobowych do publicznej wiadomości, przetwarzaniem ich w celu dokonania przestępstwa, wyłudzenia, oszustwa etc.
Summary.
Brak przestrzegania przepisów związanych z ochroną danych osobowych nie jest opłacalne dla żadnego z przedsiębiorstwa. Patrząc na problematykę długofalowo należy wskazać, że coraz więcej podmiotów jest pociąganych do odpowiedzialności w zakresie kar za naruszenia danych osobowych.
Podstawa prawna.
Art. 65 ust. 1 lit. a RODO.
