Niemiecki sąd apelacyjny wydał wyrok w sprawie dotyczącej kary pieniężnej nałożonej na niemiecką spółkę 1 & 1 Telecom przez niemiecki federalny organ nadzorczy. Ukarana spółka może mówić o dużym sukcesie. Sąd obniżył bowiem wymiar kary wymierzonej przez regulatora aż o 90%, co w przełożeniu na wartość pieniężną oznacza zawrotną kwotę 8 700 000 euro (prawie 39 000 000 złotych). Sąd argumentował swój wyrok kwestią niewielkiej winy spółki w zakresie naruszenia ochrony danych osobowych klientów w jej call center.
Kara dla spółki
W grudniu 2019 roku niemiecki federalny komisarz ds. ochrony danych i wolności informacji (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI) ukarał niemiecką spółkę kwotą aż 9 600 000 euro (przeszło 43 000 000 złotych). Wówczas była to druga najwyższa kara nałożona w Niemczech na administratora za naruszenie przepisów RODO.
Regulator zarzucił 1 & 1 Telecom, że ten nie wdrożył odpowiednich i wystarczających środków technicznych i organizacyjnych mających na celu ochronę danych osobowych klientów spółki, które były przetwarzane w jej call center. Organ nadzorczy ustalił w toku postępowania, że każda osoba kontaktująca się z call center ukaranego administratora mogła pozyskać informacje o dowolnym kliencie, podając jedynie jego imię, nazwisko oraz datę urodzenia. Spółka nie zapewniła zatem – w ocenie BfDI – wystarczającego poziomu uwierzytelnienia swoich klientów, a w efekcie nie zagwarantowała – w świetle przepisów RODO – odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.
W ocenie sądu – kara zbyt surowa
Sąd odwoławczy orzekł w swoim wyroku, że wina ukaranego administratora jest – w kontekście naruszenia ochrony danych osobowych – niewielka, co uzasadnia obniżenie wymiaru kary z 9 600 000 do 900 000 euro (z przeszło 43 000 000 na ok. 4 000 000 złotych). Jednocześnie wskazał, że brak jest informacji o dalszych naruszeniach związanych z systemem uwierzytelniania klientów spółki funkcjonującym w jej call center. Warto jednak zauważyć, że sąd nie zanegował samego faktu stwierdzonego przez regulatora naruszenia ochrony danych osobowych, co może być dobrą wskazówką dla innych administratorów stosujących różne metody weryfikacji dzwoniących klientów.
Spółka wciąż niezadowolona. BfDI wręcz przeciwnie
Przedstawiciele 1 & 1 Telecom poinformowali po ogłoszeniu wyroku, że spółka z zadowoleniem przyjęła informację o znacznym obniżeniu wymiaru kary finansowej. Zauważyli oni jednak, że znacznie zredukowana kara wciąż stanowi znaczną kwotę. Spółka aktualnie analizuje wyrok niemieckiego sądu apelacyjnego i nie wyklucza podjęcia dalszych kroków procesowych.
Niemiecki federalny organ nadzorczy poinformował natomiast, że sąd w swoim orzeczeniu potwierdził wszystkie ustalenia poczynione w toku postepowania kontrolnego prowadzonego przez BfDI. Sąd orzekł bowiem, że ukarana spółka naruszyła – wynikające z RODO – zasady przetwarzania danych osobowych poprzez niezapewnienie wystarczających środków bezpieczeństwa w swoim call center. Regulator zauważył również, że wyrok sądu w tej sprawie powinien uświadomić innym administratorom, że żadne naruszenia ochrony danych osobowych nie zostaną pozostawione bez konsekwencji.
Szybka reakcja może pomóc obniżyć wymiar kary
Pomimo, że sąd znacznie zmniejszył wymiar kary nałożonej przez niemieckiego federalnego regulatora na 1 & 1 Telecom, sprawa ta może dać do myślenia innym administratorom. Sąd potwierdził ustalenia organu nadzorczego dokonane w toku postępowania kontrolnego w kontekście samego zdarzenia. Wydaje się, że do złagodzenia kary w znacznym stopniu przyczyniła się szybka reakcja spółki po dostrzeżeniu naruszenia, w tym jego zbadanie, ocena i zastosowanie odpowiednich działań naprawczych, a następnie rzetelne udokumentowanie podjętych czynności.
Warto przypomnieć, że zdarzały się już przypadki obniżenia wysokości kar finansowych przez samych regulatorów. Na taki krok zdecydował się np. brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office ), który ukarał Marriott International Inc. oraz linie lotnicze British Airways kwotami znacznie niższymi, niż pierwotnie planował (o tych sprawach pisaliśmy TUTAJ: https://gdpr.pl/kolejna-ogromna-kara-ico; https://gdpr.pl/linie-lotnicze-british-airways-nie-uniknely-wysokiej-kary). Sytuacje te pokazują, że administrator, któremu zarzucono naruszenie ochrony danych osobowych, powinien do końca walczyć o wymiar kary, ale też odpowiednio „przepracować” swoje błędy, co sądy biorą pod uwagę.
Źródło:
https://www.bankinfosecurity.com/german-court-slashes-11s-gdpr-privacy-fine-by-90-a-15359
