W minionym roku Urząd Ochrony Danych Osobowych (UODO) nałożył kary na firmy i instytucje publiczne na łączną sumę ok. 14,59 mln zł. To spory wzrost, jeśli weźmiemy pod uwagę, że przez pięć lat, od 2018 do 2023 r., łączna suma kar za naruszenie danych osobowych wyniosła 14,8 mln zł.
W pierwszej trójce
Liczba zgłoszonych naruszeń ochrony danych osobowych w Polsce w ciągu ostatniego roku to prawie 14,3 tys. Daje nam to trzecie miejsce w Europie. Polskę wyprzedziły tylko Niemcy (33,5 tys.) i Holandia (27,8 tys. ) – wynika z raportu kancelarii DLA Piper.
Od początku obowiązywania przepisów RODO, czyli od 25 maja 2018 r., w Polsce zgłoszono w sumie 70,2 tys. przypadków ich naruszeń. Wyprzedziła nas jedynie Holandia (171,1 tys. ) i Niemcy (167,5 tys. ). Konta polskich firm z powodu kar nałożonych przez UODO uszczupliły się w latach 2018-24 o ok. 29,4 mln zł.
Rosnącą tendencję wzrostu zgłoszeń naruszeń ochrony danych osobowych w Polsce potwierdzają również dane zawarte w rocznych sprawozdaniach z działalności prezesa UODO. W 2019 r. odnotowano 6 tys. przypadków, a w 2024 r. już 14,8 tys.
– Jest kilka przyczyn wzrostu liczby kar. To przede wszystkim niewystarczające zabezpieczenia techniczne i organizacyjne, których skutkiem są cyberataki i wycieki danych osobowych. Często też przedsiębiorcy zbyt późno informują urząd o utracie lub kradzieży danych, a powinni zrobić to w ciągu 72 godzin od wykrycia naruszenia. Powszechną praktyką jest ponadto przetwarzanie danych bez odpowiedniej podstawy prawnej, takiej jak choćby posiadanie zgód marketingowych klientów – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl
Kosztowne błędy
Przy tym w Europie zwykle najwyższe kary za naruszenie przepisów ochrony osobowych są nakładane na globalne firmy technologiczne i właścicieli serwisów społecznościowych. Natomiast w Polsce sankcje obejmują firmy energetyczne, banki, operatorów telekomunikacyjnych i duże sklepy internetowe. Coraz częściej dotykają też jednak małe firmy. Przykładem jest jeden z przedsiębiorców, na którego UODO nałożyło karę w wysokości 353,6 tys. zł za brak wystarczających zabezpieczeń technicznych, których skutkiem był atak ransomware polegający na blokadzie dostępu do systemu komputerowego lub uniemożliwieniu odczytu zapisanych w nim informacji. W efekcie doszło do bezpowrotnej utraty kompletu danych osobowych klientów oraz obecnych i byłych pracowników. Natomiast inna firma musiała zapłacić ponad 238 tys. złotych grzywny za zgubienie pendrive’a z niezaszyfrowanymi plikami z danymi osobowymi pracowników, zawierających m.in. PESEL. Kolejna kara dotyczyła utraty laptopa z danymi wielu osób. Właścicielka jednej z firm zapłaciła prawie 12 tys. zł grzywny za zbyt późne zgłoszenie do UODO kradzieży z pulpitu jej komputera danych klientów.
– W sektorze MŚP każda niespodziewana kara, taka jak za naruszenie przepisów RODO, może prowadzić do destabilizacji finansowej. Niestety, często jest to efekt braku procedur lub niewiedzy właścicieli firm o obowiązujących przepisach. Ważne jest wzmocnienie edukacji i wdrażanie prostych, ale skutecznych narzędzi zabezpieczających dane – zwraca uwagę Sandra Czerwińska, ekspertka Rzetelnej Firmy.