W 2021 roku w całej Europie nałożono siedmiokrotnie więcej kar za naruszenia RODO niż w roku 2020. Polska pod względem ich liczby od 2018 roku zajmuje 4. miejsce. Biorąc natomiast pod uwagę jedynie miniony rok, liczba naruszeń RODO w Polsce była trzecią największą w całej Europie.
Raport GDPR Fines and Data Breach Survey: January 2022 to badanie, które co roku przygotowuje grupa ekspertów z międzynarodowej korporacji prawniczej DLA Piper. Uwzględnia ono wszystkie państwa Europejskiego Obszaru Gospodarczego. Wyniki po raz kolejny wskazują na to, że kar za łamanie przepisów RODO przybywa. Choć od wprowadzenia na terenie Unii Europejskiej Rozporządzenia o Ochronie Danych Osobowych minęły już cztery lata, w 2021 roku pobity został kolejny rekord liczby zgłoszonych naruszeń. Łącznie odnotowano ich ponad 130 tysięcy, średnio 356 dziennie. Rok wcześniej średnia dzienna liczba takich zdarzeń wynosiła 331. Rekord odnotowano także pod względem wysokości kar. Przypomnijmy, że według przyjętego przez Unię Europejską rozporządzenia, jednorazowa kara maksymalnie może wynosić 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie RODO. W 2021 roku suma kar wyniosła 1 miliard i 84 miliony euro.
Wysoki wynik świadczy o uczciwości
Polska pod względem liczby odnotowanych od 2018 roku naruszeń zajmuje 4. miejsce. Biorąc pod uwagę jedynie miniony rok, liczba zgłoszonych naruszeń RODO w Polsce była trzecią największą w całej Europie. Wbrew pozorom nie świadczy to o nas źle, przekonuje Ewa Kurowska‑Tober, partner kierująca praktyką własności intelektualnej i nowych technologii w warszawskim biurze DLA Piper i współkierująca globalną praktyką danych osobowych w DLA Piper: Nie zgodziłabym się z twierdzeniem, że w Polsce częściej łamane są przepisy o ochronie danych osobowych niż w innych krajach. Nasz raport przedstawia liczbę zgłoszeń naruszeń do organów, a nie naruszeń jako takich (o których pełnej wiedzy nie mamy). Stąd dość wysokie czwarte miejsce Polski pod kątem liczby zgłoszonych naruszeń danych od wejścia w życie RODO (czyli w latach 2018–2022) świadczy raczej o wysokiej świadomości przepisów i dość zdyscyplinowanym podejściu do zgłaszania naruszenia do organu ochrony danych osobowych.
Aktywna postawa polskich obywateli, którzy reagują na naruszenia i często składają skargi i zawiadomienia, może działać mobilizująco na administratorów danych. Wolą zgłaszać naruszenia, zanim zrobi to ktoś inny, zwłaszcza że co do zasady każde naruszenie RODO powinno być zgłoszone w ciągu 72 godzin od powzięcia informacji o jego wystąpieniu. Przekroczenie tego terminu może wiązać się z poważnymi konsekwencjami prawnymi i wpłynąć na wysokość kary.
Rekordziści z setkami milionów kary
Największa sankcja, wysokości 746 milionów euro, została nałożona przez luksemburski urząd na jedną z amerykańskich platform e‑commerce. Drugą co do wielkości karę o wysokości 225 milionów euro wymierzyła Irlandzka Komisja Ochrony Danych na WhatsApp Ireland Limited za brak przejrzystości w stosowanej przez firmę polityce prywatności. Wcześniejszy rekord to 50 mln euro kary nałożonej na Google’a przez francuski krajowy organ ds. ochrony danych (CNIL). Francuzów „zirytował” brak jasnej informacji o rodzaju pobieranych danych i sposobie ich przetwarzania.
Na liczbę zgłaszanych naruszeń wpływa wiele czynników, w tym również kultura danego kraju w zakresie wywiązywania się z obowiązków regulacyjnych.
Trudno jednoznacznie określić, z czego wynika wzrost zasądzanych kwot, czy też liczba odnotowanych naruszeń. Z pewnością wpływ na ten stan rzeczy ma rosnąca świadomość obywateli w całej Unii Europejskiej. Należy przy tym pamiętać, że w raporcie uwzględniona jest jedynie liczba zgłoszonych naruszeń, a nie wszystkich uchybień, jakie miały miejsce.
Te dane bardzo ciekawie wyglądają w zależności od kraju. Na liczbę zgłaszanych naruszeń wpływa wiele czynników, w tym również kultura danego kraju w zakresie wywiązywania się z obowiązków regulacyjnych. Nie można zapominać, że praktyka stosowania przepisów RODO z każdym rokiem się intensyfikuje. Z chwilą wejścia w życie przepisów w maju 2018 roku zarówno sam biznes, jak i organy regulacji dopiero uczyły się ich stosowania. Teraz, po prawie czterech latach, wiele mechanizmów ma już ugruntowaną praktykę. Administratorzy przetwarzający dane świadomi są obowiązków na nich ciążących w związku z naruszeniami, jak i organy coraz sprawniej reagują na zgłaszane lub wykrywane nieprawidłowości – wyjaśnia Kurowska‑Tober.
Prognozy na 2022 rok
Autorzy raportu GDPR Fines and Data Breach Survey: January 2022 przewidują, że liczba naruszeń RODO będzie rosnąć. Ich zdaniem przyrostu należy się spodziewać zwłaszcza w branży technologii reklamowych, która korzysta z danych na ogromną skalę i w związku z tym jest szczególnie podatna na związane z nimi naruszenia prawa. Jednak w dalszym ciągu kłopotliwe do rozwiązania pozostają sytuacje, kiedy w wymianie danych uczestniczą kraje spoza UE. Wskazówką w takim przypadku może być sprawa Schrems II, która zakończyła się w 2020 roku. Trybunał Sprawiedliwości Unii Europejskiej podjął wówczas decyzję o unieważnieniu tzw. Tarczy Prywatności, która była bardzo popularną podstawą do przekazywania danych z Europy do USA. Choć klauzule modelowe (umowy pomiędzy eksporterem i importerem danych) wciąż mogą obowiązywać jako podstawy transferu danych, podmioty decydujące się przekazywać dane osobowe poza EOG powinny przeprowadzić analizę ryzyka związanego z takim transferem, aby upewnić się, że dane obywateli EU będą podlegały takim samym zabezpieczeniom jak w Europie.
Zgodnie z RODO, transfery danych osobowych poza Europejski Obszar Gospodarczy podlegają szczególnym wymaganiom, polegającym przede wszystkim na konieczności oparcia transferu na jednej z wyraźniej przewidzianych podstaw prawnych. W wyniku decyzji dotyczącej Schrems II wiele transferów, głównie do USA, stanęło pod znakiem zapytania. Niedawno francuski organ ochrony danych osobowych zażądał wstrzymania transferów danych w ramach popularnego narzędzia marketingowego Google Analytics, z którego korzysta bardzo wiele podmiotów na rynku, również polskim. Aby wywiązać się z obowiązku oceny ryzyka, wiele podmiotów rozpoczęło weryfikację swoich transferów danych. W celu ułatwienia tego zadania międzynarodowy zespół prawników DLA Piper przygotował narzędzie o nazwie The Transfer Tool – które pomaga przeprowadzić odpowiednią analizę – wyjaśnia Kurowska‑Tober.
Eksperci DLA Piper przewidują, że w kolejnych latach trend wzrostu wysokości kar i liczby naruszeń będzie się utrzymywał, zwłaszcza w związku z polityką plików cookie i dalszym dynamicznym rozwojem branży ad‑tech. Sprawa RODO pozostanie też głównym przedmiotem zainteresowania władz sądowniczych. I choć na razie wzrost wysokości i liczby kar jest uważany za pozytywy, bo paradoksalnie oznacza, że coraz bardziej dbamy o ochronę danych osobowych, dla firm powinien być ostrzeżeniem, że nie mogą tego już dłużej lekceważyć.
