Od momentu wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych, znanego jako RODO, które miało miejsce 25 maja 2018 roku, firmy musiały znacząco zmienić swoje metody przetwarzania danych osobowych, aby dostosować się do nowych przepisów. Niezastosowanie się do (już nie takich nowych) regulacji może pociągać za sobą surowe konsekwencje prawne. Dziś, chcielibyśmy przybliżyć przedsiębiorcom, jakie mogą być skutki nieprzestrzegania przepisów o ochronie danych osobowych i jakie zmiany niosą ze sobą te przepisy dla codziennej działalności biznesowej.
Kary finansowe
Jedną z najbardziej bezpośrednich konsekwencji za nieprzestrzeganie przepisów RODO są wysokie kary pieniężne nałożone przez organy nadzorcze, takie jak Urząd Ochrony Danych Osobowych (UODO). W ramach ogólnego rozporządzenia o ochronie danych (RODO), kary te mogą sięgać do 20 milionów euro lub 4% rocznego światowego obrotu firmy, w zależności od tego, która z tych wartości jest wyższa.
Odpowiedzialność cywilna
Firma może zostać pociągnięta do odpowiedzialności cywilnej za szkody spowodowane naruszeniem ochrony danych osobowych. To oznacza, że osoby, których dane zostały naruszone, mogą dochodzić odszkodowań za poniesione straty, zarówno materialne, jak i niematerialne (np. za naruszenie prywatności czy stres), na drodze postępowania cywilnego.
Utrata zaufania klientów
Wydostanie się danych osobowych poza obszar firmy lub inne naruszenie zasad ochrony danych mogą poważnie zaszkodzić reputacji firmy. Klienci i partnerzy biznesowi mogą stracić zaufanie do firmy, co może prowadzić do utraty klientów, zmniejszenia sprzedaży, a nawet do zerwania istniejących relacji biznesowych.
Negatywne skutki dla wizerunku firmy
Ten punkt niejako łączy się z poprzednim. Takie informacje zwykle szybko się roznoszą. Negatywne doniesienia (np. w mediach) o naruszeniu ochrony danych osobowych mogą zaszkodzić wizerunkowi firmy w oczach opinii publicznej. W dzisiejszym świecie, gdzie informacje rozprzestrzeniają się błyskawicznie, szkody wizerunkowe mogą być trudne do naprawienia.
Administrator danych naruszył ochronę danych osobowych? Ma obowiązek o tym poinformować!
W przypadku naruszenia bezpieczeństwa danych osobowych administrator tych danych ma obowiązek niezwłocznie (nie później niż w ciągu 72 godzin od wykrycia tego), powiadomić o tym właściwy organ nadzorczy (PUODO). Należy jednak podkreślić, że obowiązek zgłaszania nie dotyczy sytuacji, w których mało prawdopodobne jest, że naruszenie to spowoduje ryzyko naruszenia praw lub wolności indywidualnych osób. Jednak termin „mało prawdopodobne” jest nieprecyzyjny, co może powodować niepewność u administratora danych w obliczu faktycznego naruszenia.
W kontekście powyższych konsekwencji prawnych za naruszenie przepisów o ochronie danych osobowych, przestrzeganie przepisów o ich ochronie nie powinno być traktowane przez firmy jako opcjonalne. Ochrona danych osobowych wymaga nie tylko odpowiednich procedur, ale także szkoleń dla pracowników, aby minimalizować ryzyko naruszeń i zapewnić zgodne z prawem przetwarzanie danych osobowych.
adwokat Dagmara Jabłońska