Kary nałożone za naruszenia RODO przez organy ochrony danych osobowych w państwach UE wyniosły w ostatnim roku łącznie 1,2 mld euro (suma za okres od 28 stycznia 2024 r. do 27 stycznia 2025 r.). Z przygotowanego przez kancelarię DLA Piper raportu („GDPR Fines and Data Breach Survey”) wynika, że suma kar – rosnąca w poprzednich latach – tym razem spadła o jedną trzecią w porównaniu z poprzednim rokiem, gdy wyniosła 1,78 mld euro

Jak wskazują autorzy zestawienia, spadek ten wynikał częściowo z tego, że w 2023 r. irlandzki organ nałożył na koncern Meta najwyższą w historii grzywnę w wysokości 1,2 mld euro (za niezgodny z RODO transfer do USA danych osobowych użytkowników Facebooka i Instagrama). W ostatnim roku nie zanotowano kwoty zbliżonej do tego rekordu.

W efekcie skumulowana suma kar nałożonych przez wszystkie organy krajowe – raport obejmuje 27 państw członkowskich Unii Europejskiej, a także Norwegię, Islandię i Liechtenstein (EOG) oraz Wielką Brytanię – od początku obowiązywania RODO w 2018 r. do stycznia 2025 r. wynosi 5,88 mld euro.

W Polsce kumulacja kar

Przy czym w Polsce zarysowała się tendencja odwrotna: w ostatnim roku doszło w naszym kraju niemal do podwojenia skumulowanej sumy kar – do kwoty 6,91 mln euro – wobec tej z lat 2018–2023 (3,48 mln euro).

Jeżeli chodzi o liczbę zgłoszonych w ostatnim roku incydentów, to utrzymuje się ona na podobnym poziomie. Tak jak przed rokiem, Polska jest trzecim krajem pod względem liczby zgłoszonych naruszeń ochrony danych. W okresie od 28 stycznia 2024 r. do 27 stycznia 2025 r. odnotowano ich w naszym kraju 14,2 tys. Najwięcej zgłoszeń – 33,5 tys. – było zaś w Holandii.

W tym ostatnim kraju zapadła też decyzja, która zdaniem ekspertów z DLA Piper wyznacza ważny trend w podejściu do ochrony danych. Chodzi o osobistą odpowiedzialność osób kierujących podmiotami dopuszczającymi się naruszeń RODO. Tę kwestię holenderski organ ochrony danych (Autoriteit Persoonsgegevens – AP) poruszył w decyzji z września 2024 r. AP nałożył wtedy 30,5 mln euro kary na dostawcę oprogramowania do rozpoznawania twarzy, Clearview AI. Firma ta zbierała obrazy twarzy i inne dane ze źródeł publicznie dostępnych w internecie – w tym z platform mediów społecznościowych. Tak stworzoną globalną bazę danych udostępniła online, umożliwiając swoim klientom rozpoznawanie twarzy wielu osób. Osoby, których dane dotyczyły, nie zostały poinformowane, że ich dane są wykorzystywane w ten sposób.

Holenderski organ zajął się sprawą po serii skarg złożonych w maju 2021 r. Nie tylko stwierdził naruszenie RODO, ale zwrócił też uwagę, że wcześniejsze kary dla Clearview AI (nałożone m.in. we Włoszech i Francji) nie wpłynęły na zmianę jej praktyk. W tej sytuacji AP zdecydował o nałożeniu dodatkowych kar (5,1 mln euro) za uporczywe nieprzestrzeganie przepisów oraz zapowiedział, że zbada możliwości pociągnięcia kierownictwa firmy do osobistej odpowiedzialności.

Sygnał potencjalnej zmiany

Zdaniem ekspertów z DLA Piper takie podejście organu jest bezprecedensowe. „To sygnał potencjalnej zmiany w podejściu europejskich organów nadzorujących ochronę danych” – czytamy w raporcie. Jego autorzy przewidują „większy nacisk na osobistą odpowiedzialność osób fizycznych” w przypadkach, gdy dotychczas stosowane środki nadzoru okażą się niewystarczające. Według nich deklaracja AP to pierwsza z wielu prób zmierzających w tym kierunku – i kolejne organy krajowe rozważą pociąganie szefów firm do indywidualnej odpowiedzialności za naruszenia RODO.

Eksperci z DLA Piper podkreślają, że „odpowiedzialność osobista jest potężną dźwignią do zapewnienia zgodności” z RODO. ©℗