Rok po RODO. Polska liderem pod względem liczby skarg
fot. Adobe Stock
25 maja 2019 roku minął rok od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. Z całą pewnością Ogólne Rozporządzenie o Ochronie Danych („RODO”) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musiały się zmierzyć podmioty (przedsiębiorcy) w ostatnim czasie - piszą eksperci Deloitte.
Największą liczbę skarg, dotyczących przypadków naruszenia postanowień RODO w krajach Europy Środkowej i Wschodniej, odnotowano w Polsce: wyniosła ona ponad 4 500. Zgłoszono przy tym 2 000 powiadomień o naruszeniu ochrony danych osobowych. Drugie miejsce zajmują Czechy z liczbą ponad 3 000 skarg. Na podstawie 626 z nich wszczęto postępowania administracyjne.
Administratorzy i podmioty przetwarzające dane w Rumunii przekazali powiadomienia dotyczące niemal 400 przypadków naruszenia ochrony danych. Jeszcze mniej powiadomień przekazano w Słowenii (110) i na Litwie (100). Pozostałe kraje nie udostępniły tego rodzaju informacji. Z nieoficjalnych danych wynika jednak, że węgierski Urząd Ochrony Danych wszczął ponad 2.000 postępowań. Zgłoszono natomiast 380 incydentów, związanych z naruszeniem ochrony danych. Przypadki naruszenia ochrony danych z regionu Europy Środkowej i Wschodniej dotyczą w większości utraty danych, kradzieży i nieupoważnionego dostępu do danych osobowych.
W Rumunii wszczęto ponad 450 inspekcji, nie nałożono jednak kar. Wydano natomiast zalecenia, dotyczące działań naprawczych oraz ostrzeżenia. W Czechach odnotowano dotychczas sześć przypadków ukarania podmiotu za działania niezgodnie z RODO. Decyzje wydane w tych sprawach stały się prawomocne. Dotyczą one przede wszystkim niewłaściwej ochrony danych i przetwarzania danych bez niezbędnych zgód, a kwoty nałożonych kar wahają się od ok. 390 EUR do 1.170 EUR.
Natomiast kary nałożone na Węgrzech (dotyczące około dziesięciu naruszeń) wahają się pomiędzy 3 000 EUR a 40 000 EUR. Najwyższą kwotę kary zasądzono za niepowiadomienie właściwych organów i osób, których dane dotyczą, o przypadku naruszenia w odniesieniu do bazy danych użytkowników, której administratorem była partia polityczna, zawierającej nazwiska, adresy mailowe i zaszyfrowane hasła dostępu użytkowników, które wskutek ataku hakerskiego stały się dostępne w witrynie tej partii.
Na Litwie Urząd Ochrony Danych nałożył niedawno pierwszą karę w kwocie 61 500 EUR na firmę FinTech w związku z nieprawidłowym przetwarzaniem danych, ujawnieniem danych osobowych i niepowiadomieniem o tym osób, których dane dotyczą. Do serwera firmy włamano się w lipcu 2018 roku. W wyniku tego zdarzenia dane osobowe jej klientów stały się dostępne w formie 9 000 zrzutów z ekranu transakcji bankowych. W toku kontroli stwierdzono, że za bezpieczeństwo i zarządzanie danymi w tej firmie odpowiadała tylko jedna osoba.
Najwyższą w regionie karę związaną z naruszeniem RODO nałożono jednak w Polsce (w marcu 2019 roku). Wynosi ona ok. 1 miliona PLN (230000 EUR) i dotyczy niepowiadomienia osób, których dane dotyczą o ich przetwarzaniu przez administratora danych. Ukarana firma pozyskiwała dane osobowe ze źródeł publicznych i przetwarzała je dla zysku.
We wszystkich badanych krajach Europy Środkowej i Wschodniej (oprócz Słowenii, gdzie trwa proces opracowywania przepisów), wdrożono krajowe przepisy dotyczące ochrony danych osobowych, ze szczególnym naciskiem na kwestie dotyczące relacji z pracownikami, systemów kamer przemysłowych i sektorów silnie regulowanych.