Polska jest w unijnej czołówce, jeżeli chodzi o naruszenie przepisów o ochronie danych osobowych. I jest coraz gorzej. Przede wszystkim firmy nie stosują wystarczających zabezpieczeń technicznych i organizacyjnych, zapobiegających cyberatakom i wyciekom danych osobowych. Często również przedsiębiorcy zbyt późno informują UODO o utracie lub kradzieży danych.
W 2024 r. Polska zajęła trzecie miejsce spośród 31 europejskich państw pod względem zgłoszonych naruszeń przepisów RODO, a ich liczba systematycznie rośnie. W rezultacie w ciągu ostatnich 12 miesięcy UODO nałożył na firmy i instytucje publiczne kary na łączną sumę 3,43 mln euro (około 14,59 mln zł). To tym bardziej niepokojące, że w latach 2018-2023 skumulowana suma kar wyniosła 3,48 mln euro (14,78 mln zł).
- Tylko w ciągu ostatnich 12 miesięcy doszło do podwojenia łącznej kwoty grzywien nałożonych przez UODO za naruszenie ochrony danych osobowych w porównaniu do pięciu poprzednich lat – wynika z raportu „GDPR Fines and Data Breach Survey” przygotowanego przez międzynarodową firmę prawniczą DLA Piper.
Czytaj też: Prezes UODO ukarał dwie miejskie spółki za zgubienie pendrive-a z danymi osobowymi
Zdaniem autorów raportu wysoka pozycja naszego państwa w tym niechlubnym rankingu jest niestety zasłużona. Od początku obowiązywania przepisów RODO (25 maja 2018 roku), zgłoszono 70 204 przypadków naruszeń tej dyrektywy. Wyprzedziła nas jedynie Holandia (171 140) i Niemcy (167 454). W efekcie z kont polskich firm z powodu kar nałożonych przez UODO ubyło w latach 2018-2024 6,92 mln euro (około 29,37 mln zł).
Rosnącą tendencję wzrostu zgłoszeń naruszeń ochrony danych osobowych w Polsce potwierdzają również dane zawarte w rocznych sprawozdaniach z działalności prezesa UODO. W 2019 r. odnotowano 6 039 przypadków, w 2020 r. 7 507, a w 2021 r. 12 946. Po niewielkim spadku w 2022 r. do 12 772 naruszeń, w kolejnych dwóch latach nastąpił ponowny wzrost do 14 069 zgłoszeń w 2023 r. i 14 842 w ubiegłym roku.
– Z analizy raportu DLA Piper oraz decyzji prezesa UODO wynika, że występuje kilka podstawowych przyczyn nakładania kar na firmy. Przede wszystkim to niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często również przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, co powinni zrobić nie później niż w ciągu 72 godzin od wykrycia naruszenia. Powszechną praktyką jest też przetwarzanie danych bez odpowiedniej podstawy prawnej, jak np. posiadanie zgód marketingowych klientów – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Zobacz w LEX: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >
Na jednego z przedsiębiorców UODO nałożył karę w wysokości 353,6 tys. zł za brak wystarczających zabezpieczeń technicznych, których skutkiem był atak ransomware polegający na blokadzie dostępu do systemu komputerowego lub uniemożliwieniu odczytu zapisanych w nim informacji. W efekcie doszło do bezpowrotnej utraty kompletu danych osobowych klientów oraz obecnych i byłych pracowników. Z kolei inna firma musiała zapłacić ponad 238 tys. złotych grzywny za zgubienie pendrive’a z niezaszyfrowanymi plikami z danymi osobowymi pracowników, zawierających m.in. PESEL. Była też kara za utratę laptopa z danymi wielu osób. Właścicielka jednej z firm zapłaciła prawie 12 tysięcy złotych grzywny za zbyt późne zgłoszenie do UODO kradzieży z pulpitu jej komputera danych klientów.
– W sektorze MŚP każda niespodziewana kara, taka jak za naruszenie przepisów RODO, może prowadzić do destabilizacji finansowej. Niestety, często wynika to z braku procedur lub niewiedzy właścicieli firm o obowiązujących przepisach. Kluczowe jest tu wzmocnienie edukacji i wdrażanie prostych, ale skutecznych narzędzi zabezpieczających dane – mówi Sandra Czerwińska, ekspertka Rzetelnej Firmy.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
