fbpx

Treść artykułu

Regulacje dotyczące danych osobowych zrewolucjonizowały postępowanie firm w obszarze zabezpieczenia przetwarzanych danych osobowych. Od 25 maja 2018 roku obowiązuje Rozporządzenie o ochronie danych osobowych (RODO) – jakie skutki przyniosło wprowadzenie tej regulacji? Czy dane osobowe są właściwie chronione? Przedstawiamy podsumowanie dwóch lat RODO w Polsce i Europie.

Początki RODO w Europie

Pierwsza kara za naruszenie RODO została nałożona przez portugalski organ ochrony danych (CNPD) już w lipcu 2018 roku, w wysokości 400 tysięcy euro. Publiczny Szpital w Portugalii przetwarzał dane prawie tysiąca profili lekarzy na około trzystu pracujących, czyli ponad 3 razy więcej osób, niż faktycznie pracowało. Dodatkowo każdy z lekarzy miał nieograniczony dostęp do akt pacjentów, niezależnie od specjalizacji. Wadliwy system zarządzania profilami skutkował nałożeniem wysokiej kary finansowej.

Wielka Brytania – Lider w wysokości kar

Brytyjski organ ochrony danych (ICO) jest zdecydowanym liderem pod względem wysokości nałożonych kar. Suma dwóch największych wynosi ponad 300 milionów euro!

Takie grzywny zostały nałożone na British Airways (branża lotnicza) oraz Marriott International (branża hotelarska) dzień po dniu w lipcu 2019 roku.

Pierwsza z wymienionych firm dopuściła się szeregu nieprawidłowości podczas dochodzenia poincydentalnego. Incydent polegał na przekierowaniu ruchu na fałszywą stronę internetową, gdzie atakowano klientów – w sumie wyciekło około 500 tysięcy danych osobowych. W konsekwencji British Airways zostało ukarane grzywną w wysokości ponad 200 milionami Euro.

Druga firma nie dochowała należytej staranności podczas procesu zakupu grupy hoteli Starwood, przez co około 339 milionów rekordów danych zostało ujawnione, w tym 30 milionów dotyczyło mieszkańców 31 krajów z Europejskiego Obszaru Gospodarczego. W konsekwencji Marriott International otrzymał wezwanie do zapłaty ponad 100 milionów Euro.

Sprawdź Cyberbezpieczeństwo Grant Thornton

Hiszpania – Lider w liczbie kar

Hiszpania w obszarze ochrony danych osobowych nie próżnuje nawet w czasie koronawirusa. Od marca 2020 roku, hiszpański organ nałożył 26 kar związanych z naruszeniem ochrony danych osobowych. W Hiszpanii od wejścia w życie rozporządzenia nałożono 91 kar na sumaryczną kwotę prawie 3 milionów euro. Częstym powodem nakładania kar było nieprawidłowe wykorzystywanie kamer CCTV lub brak informacji o ich wykorzystywaniu. Mimo braku tak imponującej kwoty jak w Wielkiej Brytanii, można być pewnym, ze w Hiszpanii monitorowanie bezpieczeństwa danych osobowych przetwarzanych przez firmy odbywa się na porządku dziennym.

UODO – czy należy się bać polskiego organu ochrony danych?

W Polsce dotychczas nałożono 7 kar związanych z RODO na kwotę prawie miliona euro.

Ostatnie dwie kary, nałożone w marcu br. dotyczyły Vis Consulting oraz Szkoły Podstawowej nr 2 w Gdańsku. Odpowiednio powodami było niewystarczająca współpraca z organami nadzoru oraz niewystarczająca podstawa do przetwarzania danych wrażliwych. W gdańskiej placówce podjęto decyzję o wykorzystywaniu danych biometrycznych (odcisków palców) do wydawania posiłków w szkole. Niestety, ten system wprowadzał pewnego rodzaju segregację uczniów, co skutkowało nałożeniem kary w wysokości 20 tysięcy złotych.

Kraj Suma kar Ilość kar Średnia kwota kary
Wielka Brytania € 315 310 200 3 € 105 103 400
Francja € 51 100 000 5 € 10 220 000
Włochy € 39 452 000 11 € 3 586 545
Niemcy € 25 137 925 25 € 1 005 517
Austria € 18 070 100 7 € 2 581 443
Szwecja € 7 083 530 5 € 1 416 706
Bułgaria € 3 210 690 20 € 160 535
Hiszpania € 2 711 810 91 € 29 800
Holandia € 2 660 000 5 € 532 000
Polska € 943 330 7 € 134 000
Podsumowanie kar nałożonych w na firmy europejskie za naruszenie wymagań RODO. Źródło: www.enforcementtracker.com

Liczba kar za naruszenia RODO nie jest mała, co nie napawa optymizmem.

Z drugiej strony można mieć nadzieję, że w konsekwencji firmy przykładają większą uwagę do przetwarzania danych osobowych. Poziom zabezpieczeń i świadomości wzrasta, a to jest dobrym sygnałem dla nas samych, jako osób fizycznych które powierzają przetwarzanie danych wielu podmiotom. Zjawiskiem najbardziej piętnowanym przez regulatorów jest nieprzyznanie się do błędu i brak chęci poprawy – dlatego warto współpracować z organami nadzoru, aby poprawić jakość bezpieczeństwa danych oraz uniknąć kar związanych z prowadzeniem nieprawidłowych działań.

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane