W ciągu ostatnich trzech miesięcy, od czasu gdy obowiązuje RODO, administratorzy danych osobowych gorączkowo zgłaszali do prezesa Urzędu Ochrony Danych Osobowych (UODO) naruszenia ich ochrony — od 25 maja do 25 sierpnia wpłynęło już 1120 takich zawiadomień (administratorzy mają obowiązek informować prezesa UODO o naruszeniach przewidzianych w rozporządzeniu RODO, np. gdy dostęp do danych klienta firmy przez pomyłkę otrzymają nieuprawnione osoby).
— Zgłoszenia zostały przesłane przez administratorów zarówno z sektora prywatnego, jak i publicznego, reprezentujących podmioty z różnych branż — informuje UODO.
Większość z nich dotyczyło niegroźnych incydentów — np. omyłkowego wysłania e-maila z danymi osobowymi niewłaściwej osobie lub ujawnienia listy adresatów wiadomości e-mail podczas masowej wysyłki (przy czym w większości tych przypadków korespondencja dotyczyła aktualizacji polityki prywatności administratora w związku z RODO). Zgłaszane są też kradzieże bądź zgubienia dokumentów papierowych lub nośników elektronicznych (pendrive, telefon, laptop), na których są dane osobowe. Zdaniem ekspertów, administratorzy często zgłaszają nawet takie incydenty, o których nie muszą informować — na wszelki wypadek.
Od maja nie brakowało jednak też skarg osób prywatnych w związku z podejrzeniem nieuprawnionego wykorzystania ich danych osobowych. Niedługo do akcji wkroczy zaś sam UODO — można się spodziewać, że we wrześniu rozpoczną się intensywne kontrole.
Zgodnie z rozporządzeniem RODO, kary za naruszenia zasad ochrony danych osobowych będą drakońskie. Mogą sięgać 20 mln EUR.
Pierwsze kontrole przeprowadzane na podstawie przepisów RODO już się rozpoczęły. Pod koniec sierpnia prezes UODO ogłosi branże i podmioty, których będą dotyczyć kolejne. Zdaniem ekspertów, wiele wskazuje na to, że pierwsze kroki urzędników zostaną skierowane nie do firm prywatnych, ale do podmiotów z sektora publicznego.
— Według sprawozdania poprzednika prezesa UODO (czyli GIODO) za 2017 r., w tym okresie przeprowadzonych zostało łącznie 212 kontroli. Biorąc pod uwagę, że Urząd cały czas rekrutuje nowych pracowników, spodziewamy się, że liczba ta raczej wzrośnie, niż zmaleje — zauważają Marcin Serafin i Paweł Tobiczyk z Kancelarii Maruta Wachta.
Wskazują też, że kontrole mogą być inicjowane przez skargi, które składają osoby poszkodowane naruszeniami.
— Skala takich skarg jest bardzo duża — tylko w pierwszym miesiącu obowiązywania RODO spłynęło ich do prezesa Urzędu około 750 — mówią prawnicy.
Dodają, że w odróżnieniu od odpowiedników z innych krajów UE (np. Francji czy Holandii), w Polsce nie pojawiła się oficjalna deklaracja Urzędu Ochrony Danych Osobowych, mówiąca o tym, że w wyniku pierwszych kontroli nie będą nakładane sankcje. Można jedynie próbować po cichu liczyć na większą przychylność urzędników w przypadku pierwszych kontroli, jednak nie jest to podparte żadnymi przepisami.