- Najwięcej naruszeń zgłoszono w Niemczech (było ich 106 731),
- Najwyższą karę w wysokości 746 mln euro nałożył urząd ochrony danych z Luksemburga, kolejne zostały nałożone przez organy ochrony danych osobowych z Irlandii (225 mln euro) i Francji (50 mln euro),
- Krajowy Urząd Ochrony Danych Osobowych wymierzył kary o łącznej wartości 2,2 mln.
Początek roku to czas podsumowań, które nie mogą ominąć również dziedziny ochrony danych osobowych. Organizacjom i podmiotom zainteresowanym tematyką prywatności pragniemy zaprezentować wyniki raportu dotyczącego stosowania RODO „DLA Piper GDPR fines and data breach survey: January 2022. A report produced by DLA Piper’s cybersecurity and data protection team”, który po raz trzeci przygotowała międzynarodowa firma prawnicza DLA Piper. To dobra okazja na podsumowanie tego, jak z perspektywy naruszeń i kar nałożonych w ciągu ostatnich 12 miesięcy działają przepisy RODO w poszczególnych krajach Unii Europejskiej. Data publikacji raportu jest nieprzypadkowa, bo 28 stycznia obchodzony jest Międzynarodowy Dzień Ochrony Danych Osobowych.
Raport zawiera analizę zgłaszanych naruszeń dotyczących RODO oraz dane statystyczne odnoszące się do wymierzonych kar przez organy nadzorcze w poszczególnych krajach członkowskich. Badanie obejmuje 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Lichtenstein.
Ile zgłoszeń wpłynęło do europejskich organów nadzoru?
Od 28 stycznia 2020 r. do 27 stycznia 2022 r. zgłoszono do europejskich organów ochrony danych osobowych 121 165 naruszeń. Oznacza to, że każdego dnia odnotowano 278 naruszeń. Dla porównania w 2019 r. do organów regulacyjnych wpłynęło 101 403 skarg, a liczba zgłoszonych naruszeń RODO wzrosła o 19 proc w stosunku do poprzedniego okresu badawczego.
Kto odnotował najwięcej zgłoszeń w okresie od 25 maja 2018 r. do stycznia 2022 r.? W tej klasyfikacji pierwsze miejsce zajmują Niemcy – 40 111 tysiąca zgłoszeń, drugie miejsce Holandia – 25 880 tysiąca zgłoszeń, a trzecie miejsce należy do Danii – 9 132 zgłoszeń. W tym czasie polski urząd ochrony danych osobowych odnotował 8 635 przypadków zgłoszeń naruszeń zajmując – 6 miejsce pośród 27 krajów UE.
Dane dotyczące kar związanych z naruszeniem RODO
Z raportu DLA Piper wynika, że w Unii Europejskiej siedmiokrotnie wzrasta liczba kar wymierzona przez organy nadzorcze.
Kto wymierzył w okresie od 25 maja 2018 r. do stycznia 2022 najwięcej kar w ujęciu ilościowym? Na pierwszym miejscu zestawienia znajduje się włoski organ ochrony danych (Garante per la protezione dei dati personali) z kwotą grzywn w wysokości – 69,3 mln euro, na drugim miejscu plasuje się niemiecki organ (Bundesbeauftragten für den Datenschutz und die Informationsfreiheit BfDI) – 69 mln euro, a na trzecim miejscu francuski organ regulacyjny (Commission Nationale de I’Informatique et des Libertes ) z sumą 54,4 mln euro. Całkowita kwota kar nałożonych przez krajowy Urząd Ochrony Danych Osobowych wyniosła około 2 mln euro, a Polska zajmuje 13 miejsce w zestawieniu.
Rekordowe kary za naruszenie prywatności
Najwyższa kara z tytułu naruszenia RODO została nałożona w Luksemburgu przez National Commission for Data Protection. Rekordowa kara 746 mln EUR została nałożona na amerykańskiego giganta Amazon za niezgodne z prawem targetowanie reklam. Druga pod względem wysokości kara została nałożona przez irlandzki organ ochrony danych osobowych (Data Protecion Commission) na WhatsApp – internetowy komunikator należący do firmy Facebook – za nieprzestrzeganie RODO. Trzecia najwyższa w historii kara za złamanie przepisów RODO została nałożona we Francji (Commission Nationale de I’Informatique et des Libertes) na innego internetowego giganta Google, który został ukarany za niewłaściwy sposób przetwarzania danych osobowych.
Co z tego wynika?
W raporcie międzynarodowej firmy prawniczej znajdziemy też odpowiedź na pytanie, dlaczego w krajach Europy Zachodniej organy nadzoru zasądzają dużo wyższe kary z tytułu naruszenia RODO. Przypomnijmy, że kara za złamanie przepisów ogólnego rozporządzenia o ochronie danych osobowych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok. Eksperci przypominają, że lepiej rozwinięte gospodarczo kraje Europy Zachodniej mają więcej powiązań gospodarczych i przetwarzają na znacznie większą skalę dane osobowe m.in w branżach e-commerce czy sektorze przedsiębiorstw. Natomiast w Luksemburgu czy w Irlandii mają siedzibę międzynarodowe koncerny, w tym internetowi giganci jak Facebook czy Google.
Eksperci z Globalnego Zespołu Ochrony Danych Osobowych firmy Piper zwracają również uwagę na znaczący wzrost kar pieniężnych wymierzanych za naruszenie RODO. W ocenie prawników wzrost sankcji za złamanie przepisów dotyczących prywatności może być szczególnie dotkliwy dla firm z branży e-commerce i prowadzących działalność online. Problemem, z którym z pewnością zetkną się podmioty prowadzące działalność gospodarczą w Europie jest transfer danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego, w następstwie wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”.
Wyrok europejskiego trybunału nakłada na firmy, transferujące dane osobowe poza strefę Europejskiego Obszaru Gospodarczego, obowiązek mapowania transferów oraz dokonanie szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych. Zdaniem autorów raportu, orzeczenie TSUE w sprawie Schrems II zwiększa ryzyko kar i ryzyko roszczeń odszkodowawczych. Może się też wiązać z koniecznością zawieszenia transferu. Eksperci prognozują, że w opisywanej sytuacji może nawet dojść do naruszenia ciągłości prowadzenia działalności gospodarczej lub zakłócenia świadczenia usług w tym zakresie.
Ze względu na światową pandemię COVID-19 i finansowe trudności wielu firm, zauważalna jest tendencja organów nadzoru ochrony danych osobowych do orzekania w głośnych sprawach nieco niższych, niż pierwotnie prognozowanych, kar np. kara brytyjskiego organu ochrony danych osobowych dla linii lotniczych British Airlines za wyciek danych 500 tys. klientów. została obniżona z 183 milionów funtów do 20 mln.
Więcej:
- Komentarz Ewy Kurowskiej-Tober, partner w polskim oddziale DLA Piper i współkierująca globalną Grupą Ochrony Danych, Prywatności i Bezpieczeństwa DLA Piper, dostępny na oficjalnej stronie internetowej firmy Piper
- https://www.dlapiper.com/pl/poland/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/
- https://www.all-about-security.de/wp-content/uploads/2022/01/Data-Breach-Report-2022.
- https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers.
Brakuje Ci praktycznej wiedzy z zakresu ochrony danych osobowych? Chcesz przygotować się do kontroli ze strony Urzędu Ochrony Danych Osobowych lub potrzebujesz przygotować odpowiedź na pismo organu nadzorczego? Zapraszamy do kontaktu: biuro@ochronadanych-rodo.pl.