Francuski urząd nadzoru ochrony danych osobowych nałożył na firmę Google aż 57 milionów dolarów kary finansowej za naruszenie RODO. Kontrola została wszczęta z uwagi na wniesione przez podmioty skargi dotyczące naruszenia obowiązków informacyjnych. Google nie tylko w sposób nienależyty informował o wykorzystywaniu danych osobowych swoich użytkowników, lecz również narzucał akceptację regulaminu, zaś dotarcie do informacji dotyczących przetwarzania danych osobowych było utrudnione (wskazano, iż wymagano aż 5-6 kliknięć, aby odnaleźć stosowne informacje). To pierwsza tak duża kara nałożona na firmę na gruncie RODO, ale z pewnością nie ostatnia.

Jak podaje Niebezpiecznik.pl jeden z jego czytelników przypadkiem trafił na pliki zawierające dane osobowe klientów Freshmail. Serwis został natychmiastowo poinformowany o lukach w zabezpieczeniach, a wyciek został zgłoszony do PUODO.  Jak wskazuje portal podmioty, których dane dotyczą nie zostali poinformowani o naruszeniu, gdyż firma uznała, iż nie zachodzi obawa zagrożenia praw i wolności tych osób. Freshmail niezwłocznie podjął kroki w celu zabezpieczenia ujawnionych plików, a odkrywca wycieku, który zgłosił sprawę do firmy został nagrodzony w ramach tzw. bug bounty. To kolejny głośny przypadek wycieku danych osobowych, zaraz po incydencie z Morele.net.

Podsumowując pół roku stosowania RODO Prezes UODO podkreśliła, iż dzięki Rozporządzeniu wiele firm wdrożyło rozwiązania mające na celu nie tylko ochronę danych osobowych, lecz również budowanie zaufania do swoich klientów. A ci są coraz bardziej świadomi przysługujących im praw – w ciągu pół roku stosowania RODO zgłoszono do urzędu ponad 3 tysiące skarg. Trzeba przy tym pamiętać, że to właśnie skargi klientów są najczęstszą przyczyną kontroli, które mogą skutkować nałożeniem na firmy kar finansowych. Liczba ta jednak, w porównaniu do innych państw Unii Europejskiej nie jest wygórowana – w Holandii liczba skarg za cały 2018 r. wyniosła prawie 21 tysięcy, z czego 29% skarg dotyczyło sektora medycznego, 26% administracji publicznej, a 17% usług finansowych. Warto zwrócić uwagę, że skargi te najczęściej dotyczyły przesłania danych osobowych do złego odbiorcy (63% skarg). Pozostałe skargi dotyczyły głównie utraty danych osobowych poprzez kradzież urządzeń (laptopów, nośników danych) oraz w wyniku ataków hakerskich, phishingu lub malware.

Amazon, Spotify, Youtube, Apple, Netflix, Soundclous, Dazn to kolejne serwery, których działania pod kątem ochrony danych osobowych wzbudziły wśród użytkowników wiele wątpliwości. Noyb, czyli inicjator akcji, informuje, iż na chwilę obecną złożył już 10 skarg w stosunku do wyżej wymienionych spółek. Skargi dotyczą przede wszystkim braku reakcji na żądania użytkowników lub trudności w ich realizacji oraz brak transparentności co do przetwarzanych danych osobowych, wiążący się z nienależytym spełnianiem obowiązków informacyjnych.

W ostatnim czasie przedsiębiorcy często otrzymywali e-maile z Zakładu Ubezpieczeń Społecznych, w których to urząd prosił ich o informacje dotyczące kontroli prawidłowości wykorzystywania zaświadczeń lekarskich przez pracowników. W iadomościach tych ZUS prosił o podanie szerokiego zakresu danych osobowych, które miały zostać wpisane do przygotowanego przez urząd formularza Excel i po uzupełnieniu odesłane na adres e-mail właściwego oddziału ZUS. Pracodawców oburzył nie tylko fakt, iż muszą dokonywać kontroli za urząd, lecz również niskie standardy ZUSu w zakresie ochrony danych osobowych (brak szyfrowania wiadomości z danymi).

Tym razem to Fundacja Panoptykon jest autorem skargi złożonej na Google oraz IAB (Interactive Advertising Bureau) w związku z przetwarzaniem danych osobowych użytkowników w procesie prowadzenia aukcji reklam emitowanych w internecie. Według Fundacji dane wykorzystywane są w sposób niekontrolowany, zapewniając do nich dostęp na szeroką skalę przy jednoczesnym braku mechanizmów pozwalających na nadzór nad tym, jak i przez kogo są one wykorzystywane.

Prezes UODO zatwierdził plan kontroli na najbliższe miesiące. Wynika z niego, że w ramach sektora prywatnego kontroli spodziewać mogą się przedsiębiorcy z branży telemarketingowej, brokerzy danych, sektor bankowy i ubezpieczeniowy w kontekście profilowania oraz pracodawcy pod kątem stosowania monitoringu wizyjnego i przetwarzania danych w związku z rekrutacją.

Minister Cyfryzacji opublikował objaśnienia dotyczące przetwarzania danych osobowych osób ubiegających się o zatrudnienie u pracodawcy po zakończeniu rekrutacji. Celem objaśnień jest wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców dokumentów rekrutacyjnych już po zakończeniu procesu rekrutacji w stosunku do osób, które nie zostały zatrudnione. Wytyczne Ministerstwa stanowią zbiór nieoficjalnych wskazówek dla przedsiębiorców, jednakże należy pamiętać, iż ostatecznie to Prezes Urzędu Ochrony Danych Osobowych ma status i kompetencje organu nadzorczego określone w RODO.