28 stycznia obchodziliśmy Europejski Dzień Ochrony Danych Osobowych. Statystyki pokazują jednak, że nie możemy mieć szczególnych powodów do radości. Polska zajmuje bowiem trzecie miejsce wśród 31 europejskich państw pod względem naruszeń przepisów RODO. Co więcej, liczba ta systematycznie rośnie. W rezultacie w ciągu ostatnich dwunastu miesięcy Urząd Ochrony Danych Osobowych nałożył na firmy i instytucje publiczne kary na łączną sumę 3,43 mln euro (około 14,59 mln zł).
Te dane są bardzo niepokojące. Kiedy bowiem przyjrzymy się wynikom z ostatnich lat, to na przykład w latach 2018-2023 skumulowana suma kar wyniosła 3,48 mln euro (14,78 mln zł). Oznacza to, że w ciągu ostatniego roku doszło do podwojenia łącznej kwoty grzywien nałożonych za naruszenie danych osobowych w porównaniu do pięciu poprzednich lat. Tak w każdym razie wynika z raportu „GDPR Fines and Data Breach Survey” przygotowanego przez międzynarodową firmę prawniczą DLA Piper.
Czy tak jest wszędzie? Okazuje się, że Polska to niechlubny wyjątek. Europejska tendencja jest bowiem odwrotna. W ostatnim roku organy 27 państw Unii Europejskiej oraz Norwegii, Islandii, Liechtensteinu i Wielkiej Brytanii za naruszenie przepisów o danych osobowych nałożyło kary w łącznej kwocie 1,2 mld euro. Jest to o jedną trzecią mniej niż w 2023 roku. Wynika z tego, że problemy z ochroną danych osobowych w polskich firmach (dotyczy to również samorządów, chociaż na nieco mniejszą skalę) są coraz bardziej poważne.
W ubiegłym roku nasz kraj, podobnie jak rok wcześniej, znalazł się w pierwszej trójce pod względem naruszeń ochrony danych osobowych. Odnotowanych zostało 14 286 takich przypadków. W ostatnim roku w tym niechlubnym zestawieniu wyprzedziły nas tylko Niemcy i Holandia.
Wysokie miejsce Polski w tym niechlubnym rankingu jest niestety zasłużone. Od początków obowiązywania przepisów RODO, czyli od maja 2018 roku, zgłoszono 70 204 przypadki naruszeń tej dyrektywy. I tutaj znowu „lepsi” od nas byli tylko Niemcy i Holendrzy.
– Z analizy raportu DLA Piper wynika, że występuje kilka podstawowych przyczyn nakładania kar na firmy. Przede wszystkim to niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często również przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, co powinni zrobić nie później niż w ciągu 72 godzin od wykrycia naruszenia. Powszechną praktyką jest też przetwarzanie danych bez odpowiedniej podstawy prawnej, jak na przykład posiadanie zgód marketingowych klientów – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
W Europie zwykle najwyższe kary za naruszenie przepisów o ochronie danych osobowych są nakładane na globalne firmy technologiczne i właścicieli serwisów społecznościowych. Szczególnie wyróżnia się irlandzki nadzór, ponieważ w tym kraju ze względów podatkowych ma zarejestrowaną siedzibę wiele międzynarodowych korporacji.
Jednak w Polsce jest nieco inaczej. W latach 2018-2024 UODO za naruszenie przepisów dotyczących ochrony danych osobowych najwyższe kary nakładał na firmy energetyczne, banki, operatorów telekomunikacyjnych czy duże sklepy internetowe. Oczywiście i małe firmy nie są bez grzechu i również one są karane za brak ochrony danych swoich klientów. Tutaj warto pamiętać, że dla niewielkich firm kara taka może oznaczać poważne kłopoty związane z całościową sytuacją finansową. Dlatego, jak mówiła Sandra Czerwińska, ekspertka Rzetelnej Firmy: – Kluczowe jest tu wzmocnienie edukacji i wdrażanie prostych, ale skutecznych narzędzi zabezpieczających dane.
Jedną z głównych przyczyn postępowania w małych i średnich firmach, które są zagrożeniem dla danych osobowych, jest brak świadomości tego zagrożenia. Jak podają wyniki badań przeprowadzonych przez ChronPESEL.pl, prawie 65 proc. właścicieli firm z sektora MSP nie obawia się kradzieży lub wycieku danych osobowych. Niepokojący jest też niski poziom wiedzy o tym, jak się zachować w razie próby wyłudzenia bądź utraty danych.
– Należy pamiętać, że każdy administrator danych osobowych, w tym małe firmy, zgodnie z prawem odpowiada za ich bezpieczeństwo. Brak wiedzy może być bardzo kosztowny – ostrzega Bartłomiej Drozd.
(opr.mnm)
Ochrona danych osobowych jest jednym z najważniejszych zagadnień współczesnej rzeczywistości i z każdym dniem zyskuje coraz bardziej na znaczeniu. W samorządach terytorialnych, gdzie przetwarzane są dane osobowe m.in. mieszkańców, kwestia ta nabiera szczególnego znaczenia.
Brak odpowiednich zabezpieczeń przed nieuprawnionym dostępem do danych osobowych przez osoby nieupoważnione może prowadzić do ich nielegalnego wykorzystania.
RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe, i większość procesów przetwarzania danych.