W ciągu trzech lat prawie podwoiła się liczba zgłoszeń o naruszeniach ochrony danych osobowych. Przedsiębiorcy wolą nie ryzykować nałożenia na nich kary.
Liczba skarg kierowanych do Urzędu Ochrony Danych Osobowych, choć nieznacznie, to jednak od trzech lat spada. Odmienną tendencję można zaś zaobserwować, jeśli chodzi o zgłaszanie incydentów związanych z danymi osobowymi. W 2023 r. liczba takich zgłoszeń przekroczyła już 14 tys. Dla porównania w 2019 r. do UODO zgłoszono nieco ponad 6 tys. takich naruszeń (patrz: grafika).
– Z jednej strony w rzeczywistości cyfrowej, do której przenosimy coraz większą część naszej działalności, łatwiej o naruszenie. Przykładem może tu być częsty błąd polegający na wysłaniu e-maila do niewłaściwego adresata – mówi Marlena Sakowska-Baryła, prof. UŁ, radczyni prawna, partnerka w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych.
– Z drugiej strony, co nie jest dobrym kierunkiem, administratorzy zgłaszają coraz mniej istotne naruszenia tylko po to, by uniknąć kar finansowych. Brakuje mi tu jednoznacznych i konkretnych wskazówek UODO, najlepiej na przykładach, co trzeba, a czego nie trzeba zgłaszać – dodaje.
Również inni komentatorzy szukają przyczyn w kombinacji różnych czynników.
– Przede wszystkim ciągle rośnie świadomość ochrony danych osobowych. Zwiększa się też dyscyplina po stronie administratorów danych, która przekłada się na zgłaszanie naruszeń – mówi Ewa Kurowska-Tober, radca prawny, partner w kancelarii DLA Piper. – Nakładane przez Urząd Ochrony Danych Osobowych kary też są zauważane i w związku z tym pojawia się podprogowy lęk przed negatywnymi konsekwencjami braku zgłoszenia – dodaje.
Wskazuje również na rozwój technologiczny, który w dwojaki sposób przyczynia się do wzrostu zagrożeń bezpieczeństwa. Po pierwsze, jest to rosnąca liczba ataków hakerskich ukierunkowanych na kradzież albo zaszyfrowanie danych.
– Po drugie, coraz więcej firm jest uzależnionych od coraz bardziej skomplikowanych systemów. I często w tych systemach zdarzają się błędy – wskazuje Ewa Kurowska-Tober.
Spodziewa się ona dalszego wzrostu liczby zgłaszanych incydentów.
Firmy dmuchają na zimne
Zgłoszenia dotyczą różnych kwestii – od włamań hakerów i wykradzenia czy zaszyfrowania danych, poprzez zgubienie laptopa czy pamięci przenośnej, do omyłkowego wysłania korespondencji elektronicznej pod niewłaściwy adres. W zasadzie każda z takich sytuacji może prowadzić do jakiegoś zagrożenia. Sądząc natomiast po spadku liczby skarg, sami zainteresowani w mniejszym stopniu dostrzegają ryzyko. Dlatego też część ekspertów uważa, że działania administratorów, zwłaszcza przedsiębiorców, często są podejmowane nieco na wyrost, tylko po to, by uniknąć ewentualnej kary.
– Administratorzy dla świętego spokoju wolą zgłosić naruszenie. To ostrożnościowe podejście wynika z dotychczasowej praktyki prezesa UODO, który uznawał, że już niskie ryzyko powoduje konieczność zgłoszenia naruszenia. Bezpieczniej jest więc zgłosić nawet mało istotny incydent, by uniknąć kary – komentuje Sławomir Kowalski, partner w kancelarii JustLAW. – Moim zdaniem prezes UODO powinien nieco podnieść poprzeczkę dla incydentów wymagających zgłoszenia do UODO. Naruszenia, dla których ryzyko jest niskie, nie powinny podlegać temu obowiązkowi. Wystarczające powinno być wpisanie ich do rejestru naruszeń. Inaczej urząd będzie zalewany zgłoszeniami, które dotyczą błahych naruszeń o marginalnym wpływie na sytuację podmiotów danych – dodaje ekspert.
Brak zgłoszenia (lub zgłoszenie z opóźnieniem) stosunkowo często jest podstawą do wymierzenia samoistnej kary finansowej. Przykładów na to nie trzeba daleko szukać – w ubiegłym tygodniu UODO poinformował o nałożeniu 10 tys. zł kary z tego właśnie powodu na Sąd Okręgowy w Krakowie, który nie poinformował o tym, że wysłana korespondencja doszła do adresata w rozerwanej kopercie, co oznacza, że ktoś mógł się z nią zapoznać.
Rekordowo wysokie kary
W przygotowanym przez kancelarię DLA Piper raporcie o naruszeniach RODO i karach („GDPR Fines and Data Breach Survey”) Polska pod względem liczby zgłoszonych w ostatnim roku incydentów zajęła trzecie miejsce, za Niemcami i Holandią. Te dwa kraje przodują również w zestawieniu obejmującym cały okres obowiązywania RODO (tj. od 25 maja 2018 r. do 27 stycznia 2024 r.).
W przeliczeniu liczby incydentów na 100 tys. mieszkańców Polska z wynikiem 37,29 plasuje się na dziewiętym miejscu wśród 31 krajów Europy (rok wcześniej była na 10.), tuż za Niemcami (38,03). Ten ranking otwiera Dania (203,82), przed Lichtensteinem (130,02) i Irlandią (129,83).
Raport DLA Piper obejmuje 27 państw członkowskich Unii Europejskiej, także Norwegię, Islandię i Liechtenstein (EOG) oraz Wielką Brytanię. Organy ochrony danych w tych krajach za naruszenia RODO nałożyły w 2023 r. łącznie 1,78 mld euro kar. To 14 proc. więcej niż rok wcześniej. Wzrost wynika głównie z rekordowej kary 1,2 mld euro, jaką na koncern Meta, właściciela Facebooka i Instagrama, nałożył regulator irlandzki, nakazując firmie zaprzestania transferu danych osobowych do USA.
– Serwisy społecznościowe oraz duże spółki technologiczne pozostają w centrum uwagi regulatorów we wszystkich krajach objętych naszym raportem, i to na nie nakładane są najwyższe kary od początku obowiązywania przepisów RODO – stwierdza Ewa Kurowska-Tober.
Dlatego to na Irlandię, gdzie europejskie siedziby ma większość globalnych gigantów cyfrowych, przypada 2,86 mld euro – tj. ponad połowa łącznej sumy kar (4,68 mld euro) nałożonych w Europie za naruszenia RODO w latach 2018–2023. Drugie miejsce zajmuje Luksemburg (siedziba Amazona), z kwotą 746,37 mln euro, a trzecie Francja, która w czasie obowiązywania RODO wymierzyła kary na sumę 546,39 mln euro.
W tym zestawieniu Polska zajmuje 16. miejsce z sumą 3,48 mln euro. W regionie Europy Środkowo-Wschodniej wyprzedzają nas pod tym względem Chorwacja i Bułgaria – z sumami kar wymierzonych od 2018 r. odpowiednio: 8,97 mln euro i 3,68 mln euro.
Eksperci DLA Piper przewidują, że w tym roku przybędzie postępowań sądowych związanych z oferowaniem usług w internecie w zamian za przetwarzanie danych osobowych użytkownika. Szczególnie model „pay or okay”, czyli alternatywa między płatnością gotówkową lub danymi, będzie przedmiotem ścisłej kontroli regulacyjnej.
DLA Piper spodziewa się też m.in. dalszych dochodzeń organów ochrony danych i egzekwowania przepisów wobec przetwarzających dane osobowe systemów sztucznej inteligencji.©℗
/>