W ciągu 4 lat liczba odnotowanych naruszeń przepisów RODO wzrosła dwukrotnie i w 2024 r. zbliżyła się do prawie 15 tys. Więcej kar płacą tylko firmy w Holandii i Niemczech. Przytaczamy kilka przykładów, za co RODO karało naszych przedsiębiorców.

Od maja 2018 r., kiedy zaczęły obowiązywać przepisy RODO zgłoszono w Polsce 70,2 tys. przypadków naruszeń tej dyrektywy. Wyprzedziła nas jedynie Holandia (171,1 tys.) i Niemcy (167,4 tys).

Jak wynika z raportu „GDPR Fines and Data Breach Survey” tylko w zeszłym roku Urząd Ochrony Danych Osobowych (UODO) nałożył na działające w Polsce firmy i instytucje publiczne kary na łączną sumę 3,43 mln euro, czyli ok. 14,6 mln zł.

To znaczący wzrost względem pierwszych lat obowiązywania tych przepisów. W latach 2018-2023 skumulowana wartość kar wyniosła bowiem niecałe 3,5 mln euro, czyli niecałe 15 mln zł.

Oznacza to, że tylko w ciągu ostatnich 12 miesięcy doszło do podwojenia łącznej kwoty grzywien nałożonych przez UODO za naruszenie ochrony danych osobowych w porównaniu do pięciu poprzednich lat.

Liczba przypadków wzrosła 2-krotnie

Raport wskazuje, że w Polsce od lat mamy do czynienia z trendem rosnącej liczby naruszeń RODO. Liczba rejestrowanych przypadków dla ostatnich lat wygląda następująco:

• w 2019 r. - 6 039,

• w 2020 r. - 7 507,

• w 2021 r. - 12 946,

• w 2022 r. - 12 772,

• w 2023 r. - 14 069,

• w 2024 r. - 14 842.

Łącznie w latach 2018-2024 wartość kar nałożona polskie firmy wyniosła 6,92 mln euro, czyli ok. 29,4 mln zł.

Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl wyjaśnia, że na taką tendencję nakłada się kilka podstawowych przyczyn.

- Przede wszystkim to niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często również przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, co powinni zrobić nie później niż w ciągu 72 godzin od wykrycia naruszenia – mówi ekspert.

- Powszechną praktyką jest też przetwarzanie danych bez odpowiedniej podstawy prawnej, jak np. posiadanie zgód marketingowych klientów – dodaje.

Kary za kradzież danych czy wyciek dokumentów

Warte zapoznania się jest kilka przypadków naruszeń RODO, za które firmy otrzymywały kary. I tak, na jedną z prywatnych placówek medycznych Urząd Ochrony Danych Osobowych nałożył karę w wysokości 85,6 tys. zł za skopiowanie przez byłego pracownika kompletu danych osobowych 100 pacjentów z systemu komputerowego, które wykorzystał do reklamowania własnych usług.

Z kolei pewna firma ochroniarska została ukarana na sumę 47,1 tys. zł za bezpowrotną utratę dostępu do kompletu danych zatrudnianych pracowników i współpracowników, której przyczyną był atak ransomware skutkujący zaszyfrowaniem trzech serwerów w celu wymuszenia zapłaty okupu.

Właścicielka jednej z firm zapłaciła prawie 12 tysięcy złotych grzywny za zbyt późne zgłoszenie do UODO kradzieży z pulpitu jej komputera z danymi klientów.

UODO: NSA przesądził, że numer księgi wieczystej to dana osobowa
UODO: NSA przesądził, że numer księgi wieczystej to dana osobowa

Zobacz również

238 tys. kary za zgubiony pendrive

Jeszcze inna firma musiała zapłacić ponad 238 tys. złotych grzywny za zgubienie pendrive’a z niezaszyfrowanymi plikami z danymi osobowymi pracowników, zawierających m.in. PESEL.

Inny przypadek to agencja ubezpieczeniowa, na którą nałożono grzywnę w kwocie 33 tys. zł za wyciek dokumentów ubezpieczeniowych 2,5 tys. osób w wyniku zainfekowania wirusem służbowych komputerów. Oprócz imion, nazwisk, dat urodzenia, adresów zamieszkania, numerów PESEL, adresów e-mail oraz numerów telefonów – wyciekły również m.in. wyniki badań onkologicznych, kopie umów i polis ubezpieczeniowych, czy zdjęcia pojazdów wykonywane do celów ubezpieczeniowych.

Pokutuje niewielka wiedza o rekomendowanych zrachowaniach

Bartłomieja Drozda, eksperta serwisu ChronPESEL.pl , pytamy na jakim poziomie jest świadomość polskich przedsiębiorców i konsumentów dotycząca ochrony podstawowych danych. Jak sam twierdzi, ten poziom nadal „pozostawia nieco do życzenia”.

– Niska jest również świadomość jak się zachować w razie kradzieży lub utraty danych osobowych. Zaledwie 59 proc. właścicieli firm z sektora MŚP zawiadomiłoby o tym organy ścigania, a 57 proc. osoby poszkodowane. Jeszcze bardziej niepokoi, że tylko 42 proc. respondentów zgłosiłoby sprawę do UODO – wskazuje ekspert.

- Oznacza to, że ponad połowa przedsiębiorców nie wie, iż zgodnie z RODO każdy administrator ma obowiązek niezwłocznie zawiadomić prezesa Urzędu o wycieku. Bądź co gorsza, większość ankietowanych celowo chciałaby zataić ten fakt – zaznacza Drozd.

Z badania „Czy Polacy są gotowi udostępnić dane osobowe w zamian za dodatkowe korzyści?”, że ponad połowa Polaków, bo 53 proc., uważa, że dane osobowe są bardzo cenne i należy chronić je za wszelką cenę. Nieco mniejsza grupa, 41 proc. respondentów podziela co prawda zdanie, że ich dane są cenne, ale dopuszcza podanie wrażliwych informacji w pewnych sytuacjach.