W ramach niniejszego raportu postanowiliśmy przeanalizować najważniejsze wnioski, jakie płyną z analizy decyzji wydanych i opublikowanych przez Prezesa UODO w 2024 r., w ramach których zostały nałożone administracyjne kary pieniężne.
[Pobierz raport lub przeczytaj poniżej streszczenie]
Kto dostał karę za naruszenie RODO?
W 2024 r. kary nałożone na podmioty prywatne stanowiły zdecydowaną większość – nałożono na nie łącznie 19 administracyjnych kar pieniężnych, czyli blisko 80 % wszystkich kar. Ich całkowita wartość wyniosła 13,7 mln zł co oznacza 98,7% wartości wszystkich kar. Z kolei na podmioty publiczne nałożono w tym okresie jedynie 5 administracyjnych kar pieniężnych, co stanowiło nieco ponad 20% wszystkich kar o łącznej wartości 185 000 zł, czyli 1,3 % wartości wszystkich kar.
Najwyższa nałożona w 2024 r. przez Prezesa UODO administracyjna kara pieniężna wynosiła 4 053 173 zł (29,2% wartości wszystkich kar), najniższa natomiast 916,71 zł (co stanowi 0,007% wartości wszystkich kar). Obydwie kary zostały nałożone na podmioty prywatne.
Administracyjne kary pieniężne nałożone na przedsiębiorstwa skupiały się przede wszystkim na spółkach kapitałowych, które odpowiadały za blisko 94% całkowitej wartości kar.
Associate. Kancelaria Prawna
Bez względu na rozmiar organizacji administratora czy podmiotu przetwarzającego, skalę prowadzonej działalności czy liczbę zatrudnianych pracowników każdy podmiot powinien pamiętać, że przetwarzanie danych osobowych musi odbywać się w sposób bezpieczny i zapewniający gwarancje dla osób, których dane dotyczą.
Każdy incydent RODO może drogo kosztować
Łączna liczba osób, których dotyczą naruszenia powstałe w wyniku działań lub zaniechań ukaranych podmiotów, wynosi ponad 2,4 mln. W rzeczywistości liczba ta może być jednak znacznie wyższa, ponieważ część administratorów nie była w stanie dokładnie określić liczby osób dotkniętych incydentami lub informacja ta nie była wskazana w uzasadnieniu decyzji Prezesa UODO.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
W jednym przypadku doszło do naruszenia danych osobowych ok. 2,2 mln osób, co w znaczący sposób wpłynęło na wysokość nałożonej administracyjnej kary pieniężnej (3,8 mln zł). Wśród decyzji nakładających kary pojawiły się zarówno przypadki naruszenia danych osobowych jednej osoby, jak i sytuacje, gdy doszło do naruszenia danych osobowych ponad 10 000 osób. Pokazuje to, że administratorzy powinny dbać o odpowiednie bezpieczeństwo danych osobowych przetwarzanych w ramach baz danych, ale również danych osobowych pojedynczych osób.
Warto zwrócić uwagę, iż w 18 przypadkach nałożone kary obejmowały dane osobowe zwykłe, które mają szczególny wpływ na osobę (numer PESEL czy też seria i numer dokumentu tożsamości), co skutkuje surowszymi konsekwencjami finansowymi dla administratora. Co więcej, 9 nałożonych administracyjnych kar pieniężnych dotyczyło sytuacji związanych z danymi osobowymi szczególnej kategorii, związanych głównie ze stanem zdrowia, ale także światopoglądem.
Junior Associate,Kancelaria Prawna
Różnorodność zagrożeń, z którymi muszą zmagać się organizacje pokazuje, jak złożone i wieloaspektowe musi być podejście do ochrony danych osobowych. Ataki złośliwego oprogramowania, w tym ransomware, błędy ludzkie, jak omyłkowe wysłanie danych, fizyczne uszkodzenie nośników danych, czy kradzież sprzętu to tylko niektóre z ryzyk, które mogą prowadzić do poważnych incydentów.
W obliczu tych zagrożeń, administratorzy nie mogą ograniczać się tylko do wdrożenia odpowiednich technicznych zabezpieczeń. Niezwykle istotne jest również stworzenie skutecznych procedur operacyjnych, które nie tylko zminimalizują ryzyko wystąpienia incydentów, ale również umożliwią ich szybką identyfikację i reakcję, co ostatecznie może ochronić organizację przed wysoką karą pieniężną.
Jak działają administratorzy danych osobowych?
Prezes UODO wszczął postępowanie w związku ze zgłoszeniem naruszenia ochrony danych osobowych (dalej incydent) przez administratora w ok. 55% przypadków , co skutkowała nałożeniem łącznie ponad 11,5 mln zł kar pieniężnych. Oznacza to, że Prezes UODO zwraca szczególną uwagę na zgłoszenie organowi nadzorczemu incydentu bez zbędnej zwłoki. Pojawiły się również przypadki, gdy postępowanie zostało wszczęte z uwagi na informację od podmiotu trzeciego (bez stosowanego zgłoszenia incydentu ze strony administratora).
Stanowi to ważną wskazówkę dla administratorów, żeby nie ukrywali ewentualnych incydentów w obszarze ochrony danych osobowych. Administratorzy powinni także natychmiast podjąć niezbędne działania mające na celu ocenę powstałego zdarzenia oraz dokonać zgłoszenia do organu nadzorczego zgodnie z przepisami RODO.
Wśród administracyjnych kar pieniężnych są również przypadki kar nałożonych w związku z brakiem udzielania informacji przez administratora na wezwanie Prezesa UODO, a także w związku z czynnościami kontrolnymi. Administratorzy powinni mieć zatem na względzie, że zaniechania w zakresie współpracy z organem nadzorczym (np. w przypadku braku odbioru korespondencji) również mogą wiązać się z konsekwencjami finansowymi. Powinni mieć także świadomość, że zapewnienie zgodności procesów przetwarzania z RODO ma charakter ciągły – dzięki cyklicznym audytom podmioty będą lepiej przygotowane na ewentualne kontrole ze strony pracowników UODO.
Zapraszamy do lektury!
Analiza administracyjnych kar pieniężnych nałożonych przez Prezesa UODO w 2024 r.
