W 2024 r. polskie firmy zapłaciły w sumie 13,9 mln zł kar z tytułu łamania przepisów RODO. Zdecydowaną większość, bo aż 98,7 proc. nałożono na firmy prywatne. Najmocniej po kieszeni dostał mBank, który nie zawiadomił klientów o wycieku danych osobowych. Za co można dostać karę i jakie stawki były w grze?

W zeszłym roku Urząd Ochrony Danych Osobowych (UODO) wydał 20 decyzji nakładających administracyjne kary pieniężne na 24 podmioty. Może się wydawać, że to niewiele, jednak łączna wartość nałożonych kar wyniosła 13,89 mln zł. Większość dotyczyła przewinień popełnionych przez podmioty prywatne – na nich UODO nałożył 19 kar o wartości 13,7 mln zł.

Jakie kary za łamanie przepisów RODO?

Wśród najczęstszych naruszeń RODO w Polsce występują takie przewinienia jak:

  • wysłanie do nieuprawnionego adresata wiadomości e-mail zawierającej niezabezpieczoną hasłem bazę danych,
  • upublicznienie dokumentów znajdujących się w porzuconej przesyłce,
  • zgubienie zewnętrznego nośnika danych (pendrive),
  • udostępnienie na profilu listy uczestników
  • ataki złośliwego oprogramowania (w tym ransomware).

Najwyższa kara za łamanie RODO

Według raportu Grant Thornton najwyższą karę w 2024 r. otrzymał mBank. Przewinienie tej firmy tłumaczy nam Emilia Martynowicz-Mamajek z kancelarii prawnej w Grant Thornton: - Naruszenie polegało na braku zawiadomienia osób poszkodowanych wyciekiem danych, po tym jak dane grupy klientów banku trafiły do innej instytucji finansowej. Bank uznał, że dane trafiły do podmiotu zaufanego, którego obowiązuje tajemnica bankowa, dlatego nie powiadomił osób poszkodowanych, uznając, że zdarzenie nie stwarza dla ich danych wysokiego ryzyka – wyjaśnia nam to prawniczka.

UODO nie zgodził się z tą argumentacją mBanku i zauważył, że brak powiadomienia poszkodowanych stwarzał ryzyko poważnych konsekwencji. Kara nałożona na jeden z największych banków w Polsce została określona na 4,05 mln zł. Warto podkreślić, że za tego typu naruszenie maksymalna kara zgodnie z przepisami RODO mogła wynieść nawet 337 mln zł.

Najniższa kara za brak reakcji

Z kolei najniższą karę Urząd Ochrony Danych Osobowych wymierzył Stowarzyszeniu „Maraton” z Gorlic za brak odpowiedniej reakcji na naruszenie ochrony danych osobowych. - Nieprzeszkolony wolontariusz nieopatrznie ujawnił na portalu społecznościowym nadmiarowe dane ponad stu uczestników zawodów sportowych - wyjaśnia nam Łukasz Jarecki z zespołu kancelarii prawnej w Grant Thornton. Stowarzyszenie zostało ukarane grzywną administracyjną w wysokości 916,71 zł.

- Prezes UODO otrzymał sygnał o incydencie i poprosił o wyjaśnienia. Stowarzyszenie przyznało się do błędu, obwiniając wolontariusza. Organ nadzorczy kilkakrotnie prosił o informacje, ale ich nie otrzymał, więc wszczął postępowanie administracyjne. Stowarzyszenie nie przeprowadziło oceny ryzyka i nie zgłosiło incydentu, co było naruszeniem obowiązków wynikających z RODO – dodaje Jarecki.

Co to jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijne prawo dotyczące ochrony danych osobowych, które obowiązujące od maja 2018 r. Celem RODO jest zapewnienie prywatności i bezpieczeństwa danych, a za jego naruszenie grożą wysokie kary finansowe. W Polsce za przestrzeganie zasad RODO odpowiada Urząd Ochrony Danych Osobowych.

Orzecznictwo w sprawie danych osobowych jest coraz bogatsze

Dane osobowe już dawno przestały być uważane jedynie za informacje, dziś są cennym aktywem, na którym platformy społecznościowe i inne firmy ćwiczą swoje modele AI. Europejskie regulacje, w tym RODO należą do najbardziej kompleksowych w tym zakresie, chociaż ich stosowanie nie jest proste, nawet dla osób, które za nimi stoją. Na przykład w styczniu tego roku za swoją niefrasobliwość dotyczącą ochrony danych osobowych ukarana została....Komisja Europejska. Chodziło o to, że budując stronę o Zielonym Ładzie umożliwiła użytkownikom logowanie się przez Facebooka. To z kolei umożliwiło transfer danych osobowych do USA, do czego wówczas nie było podstawy prawnej. Komisja w wyroku sądu UE została zobowiązana do zapłaty... 400 euro zadośćuczynienia. O tym wyroku pisaliśmy szczegółowo TUTAJ.

Rozwija się także cały czas orzecznictwo w sprawie ochrony danych osobowych. Jednym z najgłośniejszych w ostatnim czasie orzeczeń był wyrok TSUE w sprawie form grzecznościowych. Wszystko zaczęło się od biletu na przejazd kolejami francuskimi (SNCF). Żeby kupić bilet przez internet, trzeba było obowiązkowo wybrać zwrot grzecznościowy „pan” lub „pani”, który był następnie wykorzystywany w komunikacji z tą osobą. TSUE stanął tu na stanowisku poszanowania tożsamości płciowej w kontaktach handlowych. Kluczem do zrozumienia istoty sprawy jest podkreślenie, że SNCF wymagało podania informacji wskazującej na tożsamość płciową, a to po to, żeby zawrzeć i wykonać każdą umowę przewozu koleją. Każdą. Tymczasem, obiektywnie patrząc, taka informacja nie jest nikomu do niczego potrzebna – jest zbędna, a więc jej obowiązkowe podawanie przez pasażerów narusza zasadę minimalizacji danych osobowych. Nie oznacza to od razu zakazu posługiwania się zwrotami wskazującymi na tożsamość płciową w relacjach handlowych. O szczegółach tej sprawy pisaliśmy TUTAJ