114 mln euro kar z tytułu RODO
WróćW ciągu 20 miesięcy obowiązywania ogólnego rozporządzenia o ochronie danych osobowych (RODO) organy nadzoru w 28 państwach członkowskich UE oraz Islandii, Norwegii i Lichtensteinu odnotowały ponad 160 tys. zgłoszeń naruszenia ochrony danych. Prym wiodą tu Niderlandy, Niemcy i Wielka Brytania, za to we Francji nałożono najwyższą karę 50 mln euro. Łącznie kary nałożone w okresie od 25 maja 2018 roku do 27 stycznia 2020 roku opiewają na kwotę 114 mln euro – wskazują eksperci DLA Piper i podkreślają, że czas naprawdę wysokich kar może jednak dopiero nadejść.
Dane zebrane w „DLA Piper GDPR Data Breach Survey 2020” wskazują, że w ciągu ostatniego roku codziennie zgłaszanych było ok. 278 naruszeń, czyli o prawie 13 proc. więcej niż w okresie od 25 maja 2018 roku do końca stycznia 2019 roku. Nie są one podawane do wiadomości publicznej, ale można podejrzewać, że zawierają one bardzo szeroki zakres incydentów – począwszy od błędnej wysyłki maili, skończywszy na poważnych cyberatakach, w których wyciekają dane o milionach klientów.
W ciągu 20 miesięcy w Niderlandach i Niemczech zgłoszono do nadzoru najwięcej incydentów groźnych dla bezpieczeństwa danych. Było to odpowiednio 40,6 oraz 37,6 tys. zgłoszeń. Trzecia w tym zestawieniu jest Wielka Brytania, dziś już poza UE, w której takich zgłoszeń było nieco ponad 22,1 tys. Te trzy kraje dominowały również w ubiegłorocznym raporcie, który podsumowywał pierwszych osiem miesięcy po wdrożeniu RODO. Na dalszych miejscach tegorocznego zestawienia znalazły się Irlandia i Dania – z wynikami 10,5 tys. i 9,8 tys., a następnie Polska (niecałe 7,5 tys.). Najmniej zgłoszeń pochodziło z Łotwy, Cypru i Liechtensteinu.
Niderlandy przodują także pod względem liczby naruszeń na 100 tys. mieszkańców (z wynikiem 147,2 w ciągu ostatniego roku). W TOP5 znalazły się również Irlandia, Dania, Islandia i Finlandia. Polska jest mniej więcej w połowie stawki z wynikiem 13,74 na 100 tys. osób. Z kolei najmniej zgłoszeń per capita odnotowano we Włoszech (na 62 mln mieszkańców wpłynęło jednie 1,8 tys. zgłoszeń w ciągu 20 miesięcy), w Rumuni i Grecji.
Zgodnie z RODO naruszenia ochrony danych, które niosą ze sobą ryzyko dla praw i wolności osób, których dotyczą te dane, muszą być zgłaszane do organu nadzorczego w ciągu 72 godzin od ich wykrycia. W przypadku bardzo dużego zagrożenia dla praw i wolności zawiadomione muszą zostać również osoby, których dane dotyczą. W maju 2019 roku, podsumowując rok po wprowadzeniu nowych przepisów, UODO sygnalizował, że administratorzy wciąż mają problem z oceną tego ryzyka. Tym bardziej że rozporządzenie nie zawiera definicji tych pojęć i zostawia duże pole do interpretacji. A niewywiązanie się z tego obowiązku grozi karą do 10 mln euro lub 2 proc. rocznego globalnego obrotu spółki w roku poprzedzającym nałożenie grzywny.
Deszcz kar
Według DLA Piper, do tej pory urzędy krajowe zajmujące się ochroną danych osobowych nałożyły 114 mln euro kar w związku z naruszeniem RODO. Są to kary, które zostały podane do wiadomości publicznej. Najbardziej dotkliwe okazały się we Francji (51 mln euro), Niemczech (24,5 mln euro) i Austrii (18 mln euro). W Polsce, która zajęła siódme miejsce, wyniosły one 947,3 tys. euro.
Francuski organ CNIL rok temu nałożył na Google karę w wysokości 50 mln euro za naruszenie RODO, m.in. za nieinformowanie użytkowników o sposobie wykorzystania ich danych osobowych. Jest to do tej pory najwyższa kara w UE, ale to może się niedługo zmienić. Znacznie wyższe kary zaproponował w lipcu ubiegłego roku brytyjski nadzór wobec British Airways oraz Marriott International. Jest to odpowiednio 204,6 mln euro oraz 110 mln euro. Jednak ostateczne decyzje w tych sprawach jeszcze nie zapadły.
Eksperci DLA Piper podkreślają, że kary nakładane w ramach RODO budzą wiele kontrowersji, a podejścia regulatorów w różnych krajach potrafią się znacząco od siebie różnić. Wypracowanie pewnych standardów w tej dziedzinie zajmie pewnie kilka lat, a ważną rolę będą tu także odgrywać wyroki sądów w państwach członkowskich, orzeczenia Trybunału Sprawiedliwości UE czy Europejskiego Inspektora Ochrony Danych Osobowych.
Zgodnie z przepisami krajowy urząd może ukarać podmiot kwotą do 20 mln euro lub 4 proc. rocznego globalnego przychodu firmy. W kolejnych latach eksperci spodziewają się więcej wielomilionowych kar ze strony europejskich instytucji. To z kolei może pociągnąć za sobą coraz wyższe roszczenia osób poszkodowanych, również w ramach pozwów zbiorowych.
UODO także surowo karze
Pierwszą karą polski Urząd Ochrony Danych Osobowych nałożył w marcu ubiegłego roku. Dotyczyła spółki Bisnode, która przetwarzała dane uzyskane z publicznie dostępnych źródeł, m.in. z CEIDG, do celów komercyjnych i nie zawsze informowała o tym osoby, których te dane dotyczyły. Spółka argumentowała, że nie do wszystkich osób miała adresy e-mail, więc obowiązek informacyjny spełniła poprzez umieszczenie klauzuli informacyjnej na swojej stronie internetowej. Jednak UODO uznał to za niewystarczające i nałożył karę w wysokości 943 tys. zł. Możliwe jednak, że kara ta zostanie obniżona na skutek wyroku Wojewódzkiego Sądu Administracyjnego, który zajmował się skargą spółki. Sąd uchylił bowiem ze względów proceduralnych decyzję UODO dotyczącą informowania o wykorzystaniu danych osób prowadzących w przeszłości działalność gospodarczą. W tej kwestii postępowanie zostanie przeprowadzone ponownie, co prawdopodobnie wpłynie na niższą kwotę kary. WSA przyznał rację prezesowi UODO w części dotyczącej osób fizycznych prowadzących działalność gospodarczą lub tych, które zawiesiły działalnością gospodarczą.
W kwietniu 2019 roku UODO nałożył karę w wysokości 55,7 tys. zł na Dolnośląski Związek Piłki Nożnej po tym, jak opublikował on szczegółowe dane osobowe sędziów, którym przyznano licencję drogą internetową. Kolejna kara – w wysokości 40 tys. zł – została nałożona na burmistrza Aleksandrowa Kujawskiego, który nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym takie dane przekazywał.
Jak dotąd najwyższą grzywną (2,8 mln zł) UODO ukarał we wrześniu ubiegłego roku sklep Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób. Z kolei ClickQuickNow otrzymał karę w wysokości ok. 200 tys. zł za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych.
Coraz więcej wiemy
Kolejne miesiące obowiązywania RODO sprawiają, że z oceną ryzyka coraz lepiej radzą sobie administratorzy danych oraz sami zainteresowani, czyli konsumenci. Są też oni bardziej świadomi swoich praw związanych z ochroną wrażliwych danych. Według badania Komisji Europejskiej „Special Eurobarometer 487a”, opublikowanego w czerwcu 2019 roku, ponad dwie trzecie Europejczyków słyszało o RODO, z czego co trzeci wie, czym dokładnie jest. Na tym tle Polacy wypadli bardzo dobrze i uplasowali się na trzecim miejscu, za Szwecją i Holandią. Ponad połowa Polaków zadeklarowała, że wie, co to jest RODO.
Niemal trzy czwarte obywateli UE zna co najmniej jedno z sześciu praw gwarantowanych przez unijne rozporządzenie, a sześciu na dziesięciu wie, że istnieje organ władzy publicznej odpowiedzialny za ochronę danych osobowych, do którego można zwrócić się w przypadku jej naruszenia. Co dziesiąty Europejczyk już skorzystał z któregoś z tych praw, najczęściej z prawa sprzeciwu wobec otrzymywania materiałów marketingu bezpośredniego.
Co ciekawe, tylko 14 proc. Europejczyków jest przekonanych, że ma pełną kontrolę nad swoimi danymi udostępnianymi w sieci. Ponad połowa twierdzi, że może je częściowo kontrolować, a co trzeci – że nie ma żadnej kontroli. Ten fakt niepokoi blisko 80 proc. badanych. Jednocześnie respondenci przyznają, że rzadko kiedy czytają w całości politykę prywatności serwisu internetowego. Jest to dla nich zwykle zbyt długi i skomplikowany dokument. Część osób przyznaje wprost, że nie jest to dla nich istotne.