Polska na podium pod względem liczby zgłoszonych naruszeń danych osobowych

W środę eksperci DLA Piper zaprezentowali wyniki raportu „GDPR Fines and Data Breach Survey" (Badanie kar za naruszenie RODO oraz naruszeń danych) z okazji Europejskiego Dnia Ochrony Danych, który wypadał dzień wcześniej. Raport obejmuje 31 państw europejskich

, a więc nie tylko te należące do UE, ale też np. Szwajcarię czy Wielką Brytanię. Polska już rok z rzędu znalazła się w czołówce krajów z największą liczbą zgłoszeń naruszenia RODO – w porównaniu z 2023 r. nastąpił nieznaczny ich wzrost (wtedy było to 14,1 tys.). Średnio we wszystkich państwach objętych raportem wpływały 363 zgłoszenia dziennie (w porównaniu z 335 w 2023 r.).

Czytaj więcej

Dane osobowe

Prezes UODO o wzroście kar, wyborach kopertowych i zbieraniu przez PiS PESEL

W zeszłym roku dziesięciokrotnie wzrosła suma kwot nałożonych kar. Chciałbym, aby do przestrzegania przepisów o ochronie danych osobowych administratorzy podchodzili poważnie – mówi Mirosław Wróblewski, prezes UODO.

– Wzrost liczby zgłoszeń jest zgodny z trendami obserwowanymi w zeszłych latach i świadczy o rosnącej skrupulatności firm w raportowaniu naruszeń ze względu na ryzyko związane z potencjalnymi postępowaniami, karami finansowymi i odszkodowaniami – komentuje Piotr Czulak, senior associate w zespole IPT w DLA Piper w Polsce.

Prawie siedem lat z RODO – 5,88 mld euro kar w Europie, z czego w Polsce niemal 7 mln euro.

Natomiast łącznie od maja 2018 r., kiedy RODO zaczęło obowiązywać, takich zgłoszeń było w Polsce 70 204. Pod tym względem znów wyprzedzają nas jedynie Holandia (171 140) i Niemcy (167 454). Łączna wysokość kar nałożonych w tym okresie wyniosła niemal 7 mln euro (prawie 30 mln zł). Dla porównania – w całej Europie nałożono w tym okresie kary o łącznej wartości 5,88 mld Euro. Szczególnie wyróżnia się Irlandia, w której znajdują się europejskie siedziby największych cyfrowych gigantów. Urząd tego państwa nałożył przez prawie siedem lat łącznie 3,5 mln euro kar – cztery razy więcej niż drugi w kolejności Luksemburg.

– Z analizy raportu DLA Piper oraz decyzji prezesa UODO wynika, że występuje kilka podstawowych przyczyn nakładania kar na firmy. Przede wszystkim to niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często również przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, co powinni zrobić nie później niż w ciągu 72 godzin od wykrycia naruszenia. Powszechną praktyką jest też przetwarzanie danych bez odpowiedniej podstawy prawnej, jak np. posiadanie zgód marketingowych klientów – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Spadła łączna kwota kar za naruszenie RODO, ale nie chęć organów do ich nakładania 

Z kolei w samym minionym roku w państwach objętych badaniem nałożono łącznie 1,2 mld euro. To o jedną trzecią mniej niż rok wcześniej, ale pamiętać należy, że w 2023 r. padła rekordowa kara nałożona na spółkę Meta – która wynosiła tyle, ile wszystkie kary w 2024 r.!

– Aktywność europejskich regulatorów z pewnością nie spada, pomimo że w zeszłym roku nie widzieliśmy rekordowych kar. Można zauważyć nawet po ich stronie zdecydowanie większą pewność i wyraźną skłonność do nakładania wysokich kar. Duże amerykańskie korporacje z sektora technologii i mediów społecznościowych nadal pozostają w centrum uwagi urzędów ochrony danych. Jednak w 2024 roku regulatorzy bacznie przyglądali się także spółkom z sektora finansowego i energetycznego – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w warszawskim biurze DLA Piper.

Również w minionym roku palmę pierwszeństwa w wysokości kar dzierżyła Irlandia, której urząd ochrony danych m.in. ukarał kwotą 310 mln euro firmę LinkedIn z powodu naruszeń RODO związanych z legalnością, rzetelnością i przejrzystością przetwarzania danych, a spółkę Meta – kwotą 251 mln euro. Z kolei w Holandii ukarano spółkę przewozową kwotą 290 mln euro za transfery danych osobowych swoich kierowców poza Unię Europejską.

Czytaj więcej:

ABC Firmy

Pracownik zgubił pendrive'a z danymi osobowymi. Sąd uchylił karę dla firmy

Administrator nie odpowiada za błąd pracownika, jeśli wgrał oprogramowanie szyfrujące i pokazał, jak z niego korzystać, wprowadził odpowiednie procedury, a także kontrolował ich przestrzeganie.

Pro

Najgłośniejsze kary za naruszenie bezpieczeństwa danych w Polsce w ostatnich 12 miesiącach

W raporcie ujęto też najbardziej znane przypadki nałożenia kar za niedopełnienie obowiązków wynikających z RODO przez polskich administratorów danych. Przede wszystkim była to więc kara dla Morele.net ponowiona (bo pierwszy raz UODO nałożył ją w 2019 r.) 17 stycznia 2024 r. w wysokości 3,8 mln, w szczególności za brak systemu monitorowania potencjalnych naruszeń. Głośne były też przypadki kar dla banków – z 20 sierpnia 2024 r. za niezawiadomienie osób, których dane wyciekły – dostarczono je pomyłkowo do innej instytucji (4 mln zł), oraz z 12 marca 2024 r. za zgubienie przesyłki z danymi klientów (1,4 mln zł). Mimo że ta szybko została zwrócona na policję, a znalazca nie skopiował danych w żaden sposób, bank został ukarany za niezgłoszenie naruszenia w terminie 72 godzin.