Podczas gdy Polska „żyje” pierwszą karą finansową nałożoną przez PUODO na podmiot publiczny – burmistrza Aleksandrowa Kujawskiego za nieprzestrzeganie RODO ( https://uodo.gov.pl/decyzje/ZSPU.421.3.2019), organy nadzorcze innych państw członkowskich nie próżnują i nakładają wcale nie mniejsze kary finansowe za nieprzestrzeganie RODO, w tym również na podmioty publiczne.
Poniżej przedstawiam opis zdarzeń związanych z naruszeniem ochrony danych osobowych w Austrii, Grecji i na Cyprze oraz konsekwencje związane z tymi naruszeniami.
CYPR
Organ nadzorczy nałożył karę w wysokości 14 000 euro na lekarza, który opublikował poufne dane osobowe pacjenta na platformie społecznościowej Instagram. Zgodnie z informacją podaną przez biuro organu nadzorczego, sprawę naruszenia ochrony danych osobowych zgłosił sam pacjent, który zobaczył, że lekarz, z którego usług korzystał, opublikował jego dane osobowe zaliczające się do danych osobowych szczególnej kategorii (dane dotyczące zdrowia) na platformie społecznościowej Instagram, podając przy tym imię i nazwisko pacjenta bez jego zgody, która powinna być wyrażona w oparciu o art. 9 ust. 2 lit. a RODO.
Biuro organu nadzorczego nie podało więcej szczegółów dotyczących tej sprawy, ale można przypuszczać, ze lekarz dokonał przedmiotowej publikacji danych pacjenta przetwarzanych w związku z prowadzoną przez niego indywidualną (prywatną) praktyką lekarską.
GRECJA
Do greckiego organu nadzorczego w ostatnim czasie wpływały skargi od osób, będących abonentami telefonii OTE, którzy pomimo braku wyrażenia zgody na otrzymywanie połączeń telefonicznych od podmiotów trzecich w celu promocji ich produktów i usług, otrzymywali takie telefony.
Podczas czynności sprawdzających ustalono, że stało się tak dlatego, ponieważ OTE nie miało przygotowanej procedury na wypadek tego, gdy abonent poprosi o przeniesienie swojego numeru telefonu do innego operatora, po czym anuluje swoje żądanie. W związku z powyższym w wyniku błędu technicznego systemu, za który odpowiedzialność ponosi OTE, abonenci o których mowa powyżej po dokonaniu przez nich operacji systemowych związanych z próbą przeniesienia numeru telefonu do innego operatora telefonicznego, zostali oznaczeni, jako osoby zainteresowane otrzymywaniem połączeń telefonicznych od reklamodawców współpracujących z OTE.
Grecki organ nadzorczy stwierdził, że incydent dotyczył bardzo dużej liczby rekordów zawierających dane osobowe abonentów, doszło do naruszenia przez OTE art. 5 ust. 1 lit c RODO dotyczącego zasady minimalizacji danych osobowych i przede wszystkim art. 25 RODO z uwagi na nieuwzględnienie tzw. domyślnej ochrony danych osobowych w fazie projektowania procesów, jakie realizowane są przez OTE w związku z przetwarzaniem danych osobowych ich abonentów z wykorzystaniem systemu informatycznego służącego do obsługi klienta. Z tego też powodu organ nadzorczy nałożył na operatora karę administracyjną w wysokości 200 000 euro, wskazując przy tym na kryteria opisane w art. 83 ust. 2 RODO.
Co więcej, grecki organ nadzorczy nałożył na OTE jeszcze jedną karę administracyjną w wysokości 200 000 euro z uwagi na to, że z powodu błędu technicznego, począwszy od 2013 roku nie było możliwe usunięcie z bazy mailingowej danych osobowych abonentów, którzy „wycofali zgodę” na otrzymywanie treści reklamowych drogą elektroniczną, poprzez zaznaczenie w systemie elektronicznym OTE dedykowanym dla abonentów, że nie chcą już otrzymywać wiadomości od reklamodawców, przy czym ich żądanie nie mogło być zrealizowane. OTE, co prawda po interwencji organu nadzorczego naprawiło błąd techniczny i usunięto z bazy mailingowej rekordy z danymi osobowymi ok. 8 000 abonentów, przy czym organ nadzorczy zdecydował się nałożyć karę we wskazanej wyżej wysokości z uwagi na naruszenie prawa do sprzeciwu odnośnie marketingu bezpośredniego (art. 21 ust. 3 RODO) i art. 25 RODO – podobnie jak w poprzednim kazusie.
AUSTRIA
Poczta austriacka utworzyła profile ponad trzech milionów Austriaków, które zawierały informacje o ich adresach domowych, osobistych preferencjach, zwyczajach i możliwej przynależności partyjnej – które następnie zostały odsprzedane partiom politycznym i firmom biorącym udział w kampanii wyborczej, za co została ukarana karą administracyjną przez austriacki organ nadzorczy w wysokości 18 milionów euro, co stanowi jedną z największych kar za naruszenie RODO. Od wejścia w życie RODO mieliśmy bowiem do czynienia tylko z trzema przypadkami nałożenia wyższych kar: 205 milionów euro nałożone na British Airways, 110 milionów auro nałożone na Marriott oraz 50 milionów euro na Google. Wysokość kary, jak wskazują austriaccy specjaliści, uzasadniona jest jednak wielką liczbą odsprzedanych rekordów z danymi osobowymi oraz bardzo wysokimi obrotami osiąganymi przez austriacką pocztę.