RODO działa. Są pierwsze nałożone w krajach UE kary, a nawet jeden wyrok.
- W Austrii miejscowy Organ odpowiedzialny za egzekwowanie przepisów RODO (DSB) nałożył karę w wysokości ok. 4.800 EUR na przedsiębiorcę za … nieadekwatny zasięg monitoringu. Zainstalowana kamera obejmowała swoim zasięgiem znaczną część chodnika przy siedzibie firmy (stanowiącego już de factoprzestrzeń publiczną a nie teren firmy). Nie zastosowano też informacji graficznych o stosowaniu monitoringu;
- W Portugali miejscowy Organ odpowiedzialny za egzekwowanie przepisów RODO (Comissão Nacional de Proteção de Dados) nałożył karę w wysokości ok. 400.000 EUR na szpital w Barreiro Montijo za m.in. nieuprawniony dostęp do danych klinicznych udzielonych osobom trzecim poprzez utrzymanie kilkukrotnie większej liczby kont w systemie dostępu niż faktyczna liczba pracowników. Szpitalowi zarzucono umyślne działanie bez identyfikacji i uwierzytelniania użytkowników;
- W Niemczech miejscowy Organ odpowiedzialny za egzekwowanie przepisów RODO nałożył zaledwie 20.000 EUR kary na niemiecki portal randkowy Knuddels.de. Portal padł ofiarą hakerskiego ataku w wyniku którego skradziono dane prawie 2 milionów kont zarejestrowanych użytkowników. Skala naruszenia była ogromna, wiele drażliwych danych wypłynęło do Internetu. Pomimo tego kara była niska, z racji postawy właścicieli portalu, którzy o wycieku natychmiast poinformowali zarówno użytkowników, jak i inspektora danych osobowych i organ. Współpracowali z organem przy wyjaśnieniu wycieku, oraz wdrożyli ulepszone zabezpieczenia. W tym przypadku transparentność okazała się być korzystna;
- W Wielkiej Brytanii miejscowy Organ odpowiedzialny za egzekwowanie przepisów RODO (ICO) nałożył karę w wysokości 120.000 GBP na Heathrow Airport Limited za to że jeden z pracowników zgubił niezaszyfrowanego pen drive’azawierającego ponad 1000 plików, bez zgłaszania jego zgubienia, który został znaleziony przez osobę trzecią. Organ doszedł do wniosku iż spółka nie zapewnia odpowiedniej ochrony danych osobowych przechowywanych w jej sieci;
- We Francji miejscowy Organ odpowiedzialny za egzekwowanie przepisów RODO (Commission Nationale de l’Informatique et des Libertés) nałożył karę w wysokości 250.000 EUR na francuski sklep internetowy Optical Center zajmujący się sprzedażą m.in. okularów przeciwsłonecznych za umożliwienie się zapoznania osobom nieupoważnionym z danymi osobowymi klientów. Karę nałożono jeszcze w oparciu o poprzednie przepisy, lecz z uwzględnieniem RODO;
- W Niemczech (przed sądem w Diez) zapadł także pierwszy wyrok w spr. roszczenia prywatnego podmiotu ochrony danych osobowych za otrzymanie spam-u. Użytkownik w dniu 25.05.2018 r. otrzymał spam – maila zachęcającego do zapisania się na newsletter firmy. Wcześniej nie wyrażał zgody na otrzymywanie takich maili. Zażądał rekompensaty w oparciu o art. 82 RODO, zgodnie z którym „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”. Zażądał 500 EUR odszkodowania za szkodę niemajątkową (krzywdę). Nadawca dobrowolnie zapłacił 50 EUR. Sąd rozpoznający sprawę uznał że dobrowolnie wypłacona kwota 50 EUR w tym przypadku była wystarczającym zadośćuczynieniem. Jest zatem pewny punkt odniesienia w postaci 50 EUR za spam.
To dopiero początek informacji o nakładanych karach. Z kolejnymi miesiącami tolerancja organów zajmujących się egzekwowaniem przepisów RODO będzie raczej maleć niż wzrastać, zatem możemy się spodziewać wyższych kar.
