Kary wynikające z nieprzestrzegania RODO nałożone w Polsce i za granicą w branży HoReCa i nie tylko – na co warto zwrócić uwagę

Wynikało to z faktu, że olbrzymi postęp technologiczny w ostatnich latach znacząco przyspieszył i to, co wczoraj wydawało się niemożliwe, dzisiaj jest realizowane, a jutro może być wręcz przestarzałe. Tak więc – aby minimalizować ryzyko, że przepisy się po kilku latach zdezaktualizują – nie wskazano żadnych konkretnych rozwiązań uwzględniajacych bieżące rozwiązania technologiczne.
Z drugiej strony olbrzymie kary, sięgające do 20 000 000,00 euro lub 4% obrotu rocznego przedsiębiorstwa za nieprzestrzeganie RODO, stanowiły bodziec do szybkiej implementacji nowych przepisów. 
Administratorzy, opracowując dokumentację potwierdzającą wdrożenie RODO, czekali na wytyczne i wskazówki od Europejskiej Rady Ochrony Danych (wcześniej Grupa Robocza Art. 29) oraz krajowych organów nadzorczych. Polski organ nadzorczy, czyli Urząd Ochrony Danych Osobowych (zwany dalej w skrócie UODO) przygotował między innymi poradnik w zakresie stosowania monitoringu, przedstawił przykładowy rejestr czynności przetwarzania oraz poradnik dla pracodawców w zakresie zatrudniania pracowników. Ponadto UODO co miesiąc publikuje newsletter zawierający krótkie artykuły, udziela odpowiedzi na pytania często zadawane przez Inspektorów Ochrony Danych (IOD) oraz przedstawia wybrane kary nałożone przez inne europejskie organy nadzorcze.  
 Cztery lata temu wszyscy zastanawiali się, za jakie uchybienia będą nakładane kary przez europejskie organy nadzorcze oraz jakiej będą wysokości. Oczekiwano, że kary, które się pojawią, wskażą elementy, na które należy zwracać szczególną uwagę przy tworzeniu procedur i dokumentacji związanej z RODO. 

Kary za nieprzestrzeganie RODO w statystykach

Według statystyk europejskie organy nadzorcze nałożyły łącznie 907 kar na łączną kwotę 1 544 575 254,00 euro*. Najwyższa jak do tej pory kara wyniosła 746 000 000,00 euro i została nałożona przez luksemburski organ nadzorczy na spółkę Amazon Europe Core.

Na branżę HoReCa w całej Unii Europejskiej nałożono łącznie kilkadziesiąt kar w wysokości od 1000,00 do 20 450 000,00 euro.

Jedna z pierwszych kar w wysokości 15 000,00 euro została nałożona przez rumuński organ na Hotel World Trade Center Bucharest S.A. za to, że w sali restauracyjnej przy wejściu widoczna była lista śniadaniowa gości hotelowych (lista około 46 gości). 
Austriackie, norweskie, włoskie, hiszpańskie i niemieckie organy nadzorcze nałożyły kilkadziesiąt kar za nieprawidłowe przetwarzanie danych z monitoringu wizyjnego. Kary nałożone zostały między innymi za brak prawidłowej informacji o monitoringu, zbyt duży obszar objęty monitoringiem a obejmujący publiczną przestrzeń poza obszarem należącym do hotelu lub restauracji, zbyt długi okres przechowywania nagrań (14 dni) oraz bezpodstawne upublicznienie nagrań w mediach społecznościowych. Kary w tych wypadkach wyniosły od 1 000,00 do 19 900,00 euro. 
Ważną, z perspektywy hotelarzy, jest kara w wysokości 147 800,00 euro nałożona przez duński organ nadzorczy na Arp Hansen Hotel Group A/S za zbyt długi okres przechowywania danych osobowych w systemach IT bez żadnej podstawy prawnej. Zwracam na to szczególną uwagę, ponieważ czas retencji (przechowywania) danych gości hotelowych nie powinien przekroczyć 6 lat od ostatniej wizyty gościa w hotelu. 
Podczas moich wdrożeń RODO w hotelach przyjmuję 6-letni okres retencji (czas przechowywania danych), ze względu na czas przedawnienia wynikający z dokumentów sprzedaży oraz okresu przedawnienia ewentualnych roszczeń wynikający z Kodeksu cywilnego. Niestety większość używanych w Polsce PMS-ów nie potrafi poprawnie zanonimizować** danych gości, które są starsze niż wskazany powyżej okres. Dane powinny zostać zanonimizowane w taki sposób, aby nie pozbawić ważnych z punktu widzenia biznesowego hotelu danych statystycznych (informacji o obłożeniu, obrotach, przychodach w wybranych okresach archiwalnych).
Druga lokata w niechlubnym rankingu kar przypadła Booking.com i została nałożona przez holenderski organ nadzorczy za to, że w grudniu 2018 roku nie zgłosił, że hakerzy uzyskali dostęp do danych 4109 osób,
które dokonały rezerwacji za pomocą portalu. Uzyskano dostęp do danych adresowych oraz – w przypadku 283 osób – do ich numerów kart kredytowych, w tym do 97 numerów kodu zabezpieczającego (CVV, CSV). Ponadto przestępcy – podszywający się pod pracowników Booking.com – kontaktując się mailowo lub telefonicznie, próbowali wyłudzić kolejne informacje dotyczące kart kredytowych. Booking.com stwierdził naruszenie 13 stycznia 2019, ale powiadomił holenderski organ nadzorczy dopiero 7 lutego. Nie wywiązał się więc z obowiązu...