Kary za naruszenie ochrony danych osobowych. Padł rekord

28 stycznia obchodziliśmy Europejski Dzień Ochrony Danych Osobowych. Niestety nie możemy mieć powodów do radości, ponieważ Polska zajmuje trzecie miejsce spośród 31 europejskich państw pod względem zgłoszonych naruszeń przepisów RODO, a ich liczba systematycznie rośnie.

Rezultatem naruszeń przepisów RODO były kary, jakie w ciągu ostatnich 12 miesięcy UODO nałożyło na firmy i instytucje. Łącznie osiągnęły one sumę 3,43 mln euro (około 14,59 mln zł). 

To tym bardziej niepokojące, że w latach 2018-2023 skumulowana suma kar wyniosła 3,48 mln euro (14,78 mln zł). Oznacza to, że tylko w ciągu ostatnich 12 miesięcy doszło do podwojenia łącznej kwoty grzywien nałożonych przez UODO za naruszenie ochrony danych osobowych w porównaniu do pięciu poprzednich lat – wynika z raportu „GDPR Fines and Data Breach Survey” przygotowanego przez międzynarodową firmę prawniczą DLA Piper. Co ciekawe, to odwrotnie niż europejska tendencja. W ostatnim roku organy 27 państw Unii Europejskiej oraz Norwegii, Islandii, Liechtensteinu i Wielkiej Brytanii za naruszenie przepisów RODO nałożyły kary w łącznej kwocie 1,2 mld euro. To o 1/3 mniej niż w 2023 r. (1,78 mld euro). W efekcie problemy z ochroną danych osobowych w polskich firmach są coraz bardziej poważne.

Polska w niechlubnej czołówce

W ubiegłym roku, podobnie jak rok wcześniej, Polska znalazła się w pierwszej trójce pod względem zgłoszonych naruszeń ochrony danych osobowych, których odnotowano 14 286 przypadków. To nieznacznie więcej niż w 2023 r. (14 167). W rezultacie w ostatnim roku w tym niechlubnym zestawieniu wyprzedziły nas tylko Niemcy (33 471) i Holandia (27 829) – wynika z raportu kancelarii DLA Piper. Pocieszający jest fakt, że w poprzednim roku Polska zajęła w tym zestawieniu dziesiąte miejsce pod względem zgłoszonych naruszeń w przeliczeniu na 100 tys. mieszkańców. 

Wysoka pozycja naszego państwa w tym niechlubnym rankingu jest niestety zasłużona. Od początku obowiązywania przepisów RODO (25 maja 2018 roku), zgłoszono 70 204 przypadków naruszeń tej dyrektywy. Wyprzedziła nas jedynie Holandia (171 140) i Niemcy (167 454). W efekcie konta polskich firm z powodu kar nałożonych przez UODO uszczupliły się w latach 2018-2024 o 6,92 mln euro (około 29,37 mln zł). 

Rosnącą tendencję wzrostu zgłoszeń naruszeń ochrony danych osobowych w Polsce potwierdzają również dane zawarte w rocznych sprawozdaniach z działalności prezesa UODO. W 2019 r. odnotowano 6 039 przypadków, w 2020 r. 7 507, a w 2021 r. 12 946. Po niewielkim spadku w 2022 r. do 12 772 naruszeń, w kolejnych dwóch latach nastąpił ponowny wzrost do 14 069 zgłoszeń w 2023 r. i 14 842 w ubiegłym roku.

- Z analizy raportu DLA Piper oraz decyzji prezesa UODO wynika, że występuje kilka podstawowych przyczyn nakładania kar na firmy. Przede wszystkim to niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często również przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, co powinni zrobić nie później niż w ciągu 72 godzin od wykrycia naruszenia. Powszechną praktyką jest też przetwarzanie danych bez odpowiedniej podstawy prawnej, jak np. posiadanie zgód marketingowych klientów - mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Kary na własne życzenie

W Europie zwykle najwyższe kary za naruszenie przepisów ochrony osobowych są nakładane na globalne firmy technologiczne i właścicieli serwisów społecznościowych. Szczególnie wyróżnia się irlandzki nadzór, ponieważ w tym kraju ze względów podatkowych ma zarejestrowaną siedzibę wiele międzynarodowych korporacji. Jednak w Polsce jest nieco inaczej. W latach 2018-2024 UODO za naruszenie przepisów ochrony danych osobowych najwyższe kary nakładało na firmy energetyczne, banki, operatorów telekomunikacyjnych czy duże sklepy internetowe. Ale dotykają one także małe firmy. 

Na jednego z przedsiębiorców UODO nałożyło karę w wysokości 353,6 tys. zł za brak wystarczających zabezpieczeń technicznych, których skutkiem był atak ransomware polegający na blokadzie dostępu do systemu komputerowego lub uniemożliwieniu odczytu zapisanych w nim informacji. W efekcie doszło do bezpowrotnej utraty kompletu danych osobowych klientów oraz obecnych i byłych pracowników. Z kolei inna firma musiała zapłacić ponad 238 tys. złotych grzywny za zgubienie pendrive’a z niezaszyfrowanymi plikami z danymi osobowymi pracowników, zawierających m.in. PESEL. Była też kara za utratę laptopa z danymi wielu osób. Właścicielka jednej z firm zapłaciła prawie 12 tysięcy złotych grzywny za zbyt późne zgłoszenie do UODO kradzieży z pulpitu jej komputera danych klientów.

- W sektorze MŚP każda niespodziewana kara, taka jak za naruszenie przepisów RODO, może prowadzić do destabilizacji finansowej. Niestety, często wynika to z braku procedur lub niewiedzy właścicieli firm o obowiązujących przepisach. Kluczowe jest tu wzmocnienie edukacji i wdrażanie prostych, ale skutecznych narzędzi zabezpieczających dane - mówi Sandra Czerwińska, ekspertka Rzetelnej Firmy.

Niska świadomość i brak podstawowej wiedzy

Jedną z głównych przyczyn takiego postępowania jest brak świadomości zagrożenia ze strony cyberprzestępców. Z badania ChronPESEL.pl wynika, że blisko 2/3 (65 proc.) właścicieli firm z sektora MŚP nie obawia się kradzieży lub wycieku danych osobowych. Niepojący jest również niski poziom wiedzy, jak się zachować w razie próby wyłudzenia bądź utraty danych. Zaledwie 59 proc. respondentów zgłosiłoby ten fakt na policję, a 42 proc. do UODO.

- Należy pamiętać, że każdy administrator danych osobowych, w tym małe firmy zgodnie z prawem odpowiada za ich bezpieczeństwo. Naruszenie przepisów RODO może zakończyć się karą od kilku do nawet kilkuset tysięcy złotych. Niestety brak wiedzy jest bardzo kosztowny. Efektem otrzymania wysokiej grzywny mogą być duże problemy finansowe małego przedsiębiorcy, które są w stanie poważnie utrudnić prowadzenie działalności i terminowe regulowanie zobowiązań – ostrzega Bartłomiej Drozd.
 

Pobierz ebook "Ecommerce w 2025 r. Ebook z poradami dla firm"