Ponad 160 tys. naruszeń danych osobowych zostało odnotowanych w 28 krajach członkowskich Unii Europejskiej, Norwegii, Islandii i Liechtensteinie od rozpoczęcia stosowania RODO, czyli od 25 maja 2018 r. W tym czasie za naruszenie przepisów RODO organy nałożyły kary w wysokości 114 mln euro. Tak wynika z najnowszego raportu dotyczącego naruszeń danych osobowych pt. Data Breach Survey - Raport opracowanego przez kancelarię DLA Piper.

To nie przypadkowy moment na jego publikację. Od 14 już lat bowiem 28 stycznia obchodzony jest jako Dzień Ochrony Danych Osobowych. To dobra okazja na podsumowanie, jak działa RODO w Polsce i Europie. - Wprowadzenie RODO otworzyło dyskusję dotyczącą naruszania danych osobowych. W porównaniu z ubiegłorocznym Raportem wskaźnik zgłoszeń wzrósł o ponad 12 procent, a organy regulacyjne zaczęły korzystać z nowych uprawnień w zakresie nakładania kar.  Łączna kwota kar nałożonych do tej pory wyniosła 114 mln euro i jest stosunkowo niska w porównaniu z potencjalnymi możliwościami organów regulacyjnych. Spodziewamy się, że w nadchodzącym roku będziemy świadkami wzrostu liczby kar o dużej wartości – ocenia  Ewa Kurowska -Tober, partner kierująca praktyką własności intelektualnej i nowych technologii.

Czytaj w LEX: Kary pieniężne za naruszenie przepisów o ochronie danych w świetle polskiej ustawy o ochronie danych osobowych i RODO >

 

Cena promocyjna: 95.19 zł

|

Cena regularna: 119 zł

|

Najniższa cena w ostatnich 30 dniach: zł


Kto najchętniej zgłasza naruszenia

Holandia, Niemcy i Wielka Brytania należą do czołówki krajów, w których najczęściej dochodzi do zgłoszenia naruszeń. Do tamtych organów wpłynęło odpowiednio odpowiednio 40 647, 37 636 i 22 181 zgłoszeń. W Polsce od 25 maja 2018 roku do końca listopada 2019 roku do urzędu Ochrony Danych Osobowych wpłynęło 10 500 skarg. Dzienny wskaźnik liczby zawiadomień wzrósł o 12,6 proc. - z 247 zawiadomień dziennie od maja 2018 r. do początku stycznia 2019 r., do 278 w  okresie styczeń 2019 - styczeń 2020. Biorąc pod uwagę populację danego kraju, na czele znalazła się  Holandia z liczbą 147,2 naruszeń na 100 000 osób, w porównaniu z 89,8 w zeszłym roku. Na kolejnych pozycjach znalazły się Irlandia i Dania. Włochy, Rumunia i Grecja zgłosiły najmniejszą liczbę naruszeń na jednego mieszkańca. Włochy, kraj zamieszkały przez ponad 62 miliony ludzi, odnotowały jedynie 1886 zawiadomień. Polska w tej kategorii plasuje się pośrodku, choć w licznie zgłoszeń jest w pierwszej dziesiątce.'

Czytaj w LEX: Kto może kontrolować podmioty w zakresie ochrony danych osobowych? >

Kto wymierza najwyższe kary

Francja, Austria i Niemcy zajmują pierwsze miejsce w rankingu dotyczącym wartości nałożonych kar, wynoszących odpowiednio ok. 50 mln euro, 18 mln euro i  14,5 mln euro.  Najwyższa dotychczas kara w wysokości wyniosła 50 mln euro nałożona na Google przez francuski organ regulacyjny za m.in. rzekome naruszenie zasady przejrzystości, ukrywanie kluczowych informacji w kilku dokumentach. Francuski organ od tej pory nałożył jeszcze kilka innych kar, w wysokości od 20 tys. do 500 tys. euro.

Z kolei austriacki organ 23 października 2019 r. nałożył na Österreichische Post AG, czyli austriacka pocztę 18 mln euro kary za sprzedawanie podmiotom trzecim informacji o politycznych afiliacjach odbiorców przesyłek, ponadto dane dotyczące ilości przesyłek oraz częstotliwości zmian miejsc zamieszkania.  Natomiast 30 października 2019 r. berliński organ nałożył 14,5 mln euro karu na Deutsche Wohnen SE , firmę z branży nieruchomości, za brak podstawy prawnej dla dalszego przetwarzania danych osobowych, brak mechanizmów usuwania danych po upływie okresu retencji.  Chodziło o dane dotyczące sytuacji osobistej oraz finansowej najemców, jak np.: zaświadczenia o zarobkach, oświadczenia, wyciągi z umów o pracę oraz umów o naukę zawodu, dane podatkowe oraz dotyczące ubezpieczenia społecznego oraz chorobowego, jak również wyciągi z konta.

Czytaj w LEX: Okiem IOD-a: strona internetowa zgodna z przepisami o ochronie danych osobowych >

Ewa Kurowska-Tober zwraca jednak uwagę, że w większość kar w Niemczech – nakładają je organy osobne dla każdego z landów -  są one niskiej wysokości, ale jak pokazuje przykład Deutsche Wohnen SE, są wyjątki.

 

Wysokie kary w drodze

Druga wyjątkowo wysoka kara w Niemczech właśnie się szykuje. - Organ ochrony danych w Hamburgu prowadzi postępowanie przeciwko sieci sklepów H&M (Hennes & Mauritz) w związku ze skandalicznymi praktykami, jakie miały miejsce w centrum obsługi klienta – informuje Tomasz Borys,  konsultant ochrony danych osobowych. - Sprawa dotyczy gromadzenia wrażliwych danych o pracownikach firmy. Były to nie tylko dane dotyczące zdrowia (od zapalenia pęcherza po choroby nowotworowe), ale jak twierdzi Johannes Caspar Krajowy Komisarz Ochrony Danych i Wolności Informacji Hamburga w wywiadzie dla Bayerischer Rundfunk, także dane osób w otoczeniu społecznym pracowników, informacje o problemach i sporach rodzinnych, zgonach czy doświadczeniach wakacyjnych, co pod względem jakości i ilości byłoby to ogromne naruszenie zasad ochrony danych - mówi Tomasz Borys. Z rozmowy wynika, że zabezpieczono  66 GB danych.

Czytaj w LEX: Analiza decyzji Prezesa UODO nakładającej karę na Morele.net  >

Ponadto dwie najwyższe kary są właśnie procedowane w Wielkiej Brytanii. ICO, brytyjski odpowiednik Urzędu Ochrony Danych Osobowych w lipcu 2019 roku poinformował, po pierwsze  o zamiarze ukarania British Airways. Brytyjskie linie lotnicze mogą zapłacić 183 miliony funtów (blisko 217 mln euro) za wyciek danych około 500 tys. klientów, w tym dotyczących kart płatniczych. A po drugie o zamiarze nałożenia 99 milionów funtów ( blisko 111 mln euro) kary za naruszenie RODO na spółkę Marriott. Amerykańska sieć luksusowych hoteli może zapłacić za to, że nie sprawdziła dokładnie pod kątem RODO przejmowanej grupy hoteli Starwood. 

Jak wygląda Polska na tle krajów Unii

W Polsce prezes Urzędu Ochrony Danych Osobowych jak dotąd nałożył osiem kar, z  czego jednak aż trzy nie są publicznie wiadomo. Jak informuje DLA Piper chodzi o:

  • 1 973 zł (460 euro) kary dla wspólnoty mieszkaniowej,
  • 8 148 zł (1 900 euro) kary dla spółka zarządzająca nieruchomościami
  • 30 019, 5  zł (7 000 euro) dla agencja ochrony mienia.

Pozostałe upublicznione kary, to prawie milion zł kary dla spółki Bisnode, 56 tys. zł dla Dolnośląskiego Związku Piłki Nożnej, 3 mln zł dla spółki z branży e-commerce morele.net za wyciek danych, 201 tys. zł dla spółki z branży reklamowej ClickQuickNow i 40 tys. zł dla burmistrza Aleksandrowa Kujawskiego. Warto pamiętać, że zgodnie z RODO, karę wyrażoną w euro przelicza się na złotówki właśnie po kursie z 28 stycznia roku, w którym została nałożona, czyli z dnia ochrony danych osobowych. Dziś średni kurs euro wynosi 4,2794 zł, a rok temu było to - 4,2885 zł.

Z podsumowania kancelarii DLA Piper  wynika, że UODO zarzucił ukaranym podmiotom w sumie naruszenie pięciu zasad RODO:

  1. zasad ogólnych RODO, tj. zasady zgodności z prawem i zasady poufności (naruszenie art. 5 ust. 1 lit. a) oraz f))
  2. brak zawarcia umów powierzenia przetwarzania danych (naruszenie art. 28 ust. 3).
  3. zasady ograniczenia przechowywania oraz obowiązku wdrożenia odpowiednich polityk dotyczących przetwarzania danych osobowych, w tym dot. retencji (art. 5 ust. 1 lit. e) w zw. z art. 5 ust. 2 oraz art. 24)
  4. zasady integralności i poufności oraz obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań (art. 5 ust. 1 lit. f) w zw. z art. 5 ust. 2 oraz art. 32)
  5. zasady rozliczalności i ograniczonego przetwarzania oraz nieprawidłowości w rejestrze czynności przetwarzania danych dot. braku wskazania odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych (art. 5 ust. 2 oraz art. 30 ust. 1 lit. d) oraz f)) 

Czytaj w LEX: Jak przygotować się na kontrolę inspektorów UODO w zakresie zgodności wykorzystywanego monitoringu wizyjnego z przepisami RODO >

Z analizy kar w UE wynika jednak, że większość nałożonych kar jest pośrednio lub bezpośrednio wynikiem cyberincydentu. W Polsce ofiarą cyberataku było morele.net, urząd miasta w Aleksandrowie Kujawskim, a pośrednio także spółka ClickQuickNow. To zaś oznacza, że przede wszystkim administratorzy muszą dostosować swoje zabezpieczenia tak, aby były zgodne z art.32 RODO. Patrick Van Eecke, przewodniczący międzynarodowej praktyki ochrony danych DLA Piper, zauważa, że nałożone kary pieniężne RODO rodzą wiele pytań. - Zapytaj dwóch różnych organów regulacyjnych, w jaki sposób należy obliczać grzywny RODO, a otrzymasz dwie różne odpowiedzi - mówi. Firmy w Polsce rzeczywiście nie są w stanie oszacować, jak wysokie kary grożą im za naruszenie RODO. I choć RODO jest wspólne dla wszystkich krajów UE, to żadnych wspólnych zasad obliczania kar nie ma też wiele innych krajów, o ich przygotowanie nie pokusiła się też Europejska Rada Ochrony Danych. Takiego problemu nie ma jedynie w Holandii i nie będzie w Niemczech. Tam określono zasady ich wyliczania, o czym pisaliśmy na Prawo.pl w październiku 2019 r.