Regulacje dotyczące danych osobowych zrewolucjonizowały postępowanie firm w obszarze zabezpieczenia przetwarzanych danych osobowych. Od 25 maja 2018 roku obowiązuje Rozporządzenie o ochronie danych osobowych (RODO) – jakie skutki przyniosło wprowadzenie tej regulacji? Czy dane osobowe są właściwie chronione? Przedstawiamy podsumowanie dwóch lat RODO w Polsce i Europie.
Kluczowe fakty
- Dotychczas w Europie nałożono 264 kary na łączną kwotę ponad 450 milionów EUR
- Najczęstszym naruszeniem były niewystarczające zabezpieczenia techniczne oraz organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych
Początki RODO w Europie
Pierwsza kara za naruszenie RODO została nałożona przez portugalski organ ochrony danych (CNPD) już w lipcu 2018 roku, w wysokości 400 tysięcy euro. Publiczny Szpital w Portugalii przetwarzał dane prawie tysiąca profili lekarzy na około trzystu pracujących, czyli ponad 3 razy więcej osób, niż faktycznie pracowało. Dodatkowo każdy z lekarzy miał nieograniczony dostęp do akt pacjentów, niezależnie od specjalizacji. Wadliwy system zarządzania profilami skutkował nałożeniem wysokiej kary finansowej.
Wielka Brytania – Lider w wysokości kar
Brytyjski organ ochrony danych (ICO) jest zdecydowanym liderem pod względem wysokości nałożonych kar. Suma dwóch największych wynosi ponad 300 milionów euro!
Takie grzywny zostały nałożone na British Airways (branża lotnicza) oraz Marriott International (branża hotelarska) dzień po dniu w lipcu 2019 roku.
Pierwsza z wymienionych firm dopuściła się szeregu nieprawidłowości podczas dochodzenia poincydentalnego. Incydent polegał na przekierowaniu ruchu na fałszywą stronę internetową, gdzie atakowano klientów – w sumie wyciekło około 500 tysięcy danych osobowych. W konsekwencji British Airways zostało ukarane grzywną w wysokości ponad 200 milionami Euro.
Druga firma nie dochowała należytej staranności podczas procesu zakupu grupy hoteli Starwood, przez co około 339 milionów rekordów danych zostało ujawnione, w tym 30 milionów dotyczyło mieszkańców 31 krajów z Europejskiego Obszaru Gospodarczego. W konsekwencji Marriott International otrzymał wezwanie do zapłaty ponad 100 milionów Euro.
Hiszpania – Lider w liczbie kar
Hiszpania w obszarze ochrony danych osobowych nie próżnuje nawet w czasie koronawirusa. Od marca 2020 roku, hiszpański organ nałożył 26 kar związanych z naruszeniem ochrony danych osobowych. W Hiszpanii od wejścia w życie rozporządzenia nałożono 91 kar na sumaryczną kwotę prawie 3 milionów euro. Częstym powodem nakładania kar było nieprawidłowe wykorzystywanie kamer CCTV lub brak informacji o ich wykorzystywaniu. Mimo braku tak imponującej kwoty jak w Wielkiej Brytanii, można być pewnym, ze w Hiszpanii monitorowanie bezpieczeństwa danych osobowych przetwarzanych przez firmy odbywa się na porządku dziennym.
UODO – czy należy się bać polskiego organu ochrony danych?
W Polsce dotychczas nałożono 7 kar związanych z RODO na kwotę prawie miliona euro.
Ostatnie dwie kary, nałożone w marcu br. dotyczyły Vis Consulting oraz Szkoły Podstawowej nr 2 w Gdańsku. Odpowiednio powodami było niewystarczająca współpraca z organami nadzoru oraz niewystarczająca podstawa do przetwarzania danych wrażliwych. W gdańskiej placówce podjęto decyzję o wykorzystywaniu danych biometrycznych (odcisków palców) do wydawania posiłków w szkole. Niestety, ten system wprowadzał pewnego rodzaju segregację uczniów, co skutkowało nałożeniem kary w wysokości 20 tysięcy złotych.
| Kraj | Suma kar | Ilość kar | Średnia kwota kary |
|---|---|---|---|
| Wielka Brytania | € 315 310 200 | 3 | € 105 103 400 |
| Francja | € 51 100 000 | 5 | € 10 220 000 |
| Włochy | € 39 452 000 | 11 | € 3 586 545 |
| Niemcy | € 25 137 925 | 25 | € 1 005 517 |
| Austria | € 18 070 100 | 7 | € 2 581 443 |
| Szwecja | € 7 083 530 | 5 | € 1 416 706 |
| Bułgaria | € 3 210 690 | 20 | € 160 535 |
| Hiszpania | € 2 711 810 | 91 | € 29 800 |
| Holandia | € 2 660 000 | 5 | € 532 000 |
| Polska | € 943 330 | 7 | € 134 000 |
Podsumowanie kar nałożonych w na firmy europejskie za naruszenie wymagań RODO. Źródło: www.enforcementtracker.com
Liczba kar za naruszenia RODO nie jest mała, co nie napawa optymizmem.
Z drugiej strony można mieć nadzieję, że w konsekwencji firmy przykładają większą uwagę do przetwarzania danych osobowych. Poziom zabezpieczeń i świadomości wzrasta, a to jest dobrym sygnałem dla nas samych, jako osób fizycznych które powierzają przetwarzanie danych wielu podmiotom. Zjawiskiem najbardziej piętnowanym przez regulatorów jest nieprzyznanie się do błędu i brak chęci poprawy – dlatego warto współpracować z organami nadzoru, aby poprawić jakość bezpieczeństwa danych oraz uniknąć kar związanych z prowadzeniem nieprawidłowych działań.
