Łączna wartość kar nałożonych przez europejskich regulatorów za naruszenia Rozporządzenia o Ochronie Danych Osobowych (RODO) wyniosła do tej pory 2,9 mld euro, wynika z najnowszego raportu kancelarii prawnej DLA Piper. Organy kontrolne coraz śmielej nakładają wysokie grzywny, a na ich celowniku są firmy technologiczne, takie jak koncern Meta – właściciel serwisów społecznościowych Facebook i Instagram.
Tylko w ostatnich 12 miesiącach europejscy nadzorcy nałożyli na przedsiębiorstwa kary w wysokości 1,83 mld euro, co stanowi rekordowy rok od kiedy w maju 2018 roku weszły w życie przepisy RODO. Regulatorzy mogą nakładać kary sięgające nawet 4 proc. całkowitego rocznego obrotu firmy.
Jak dotąd najbardziej rygorystyczny okazał się irlandzki regulator, który nałożył grzywny o łącznej wartości 1,3 mld euro. Za nim plasuje się nadzorca z Luksemburga z największą indywidualną karą w wysokości 746 mln euro, a na trzecim miejscu jest francuski organ kontrolny, który nałożył kary na poziomie 428 mln euro. Za wysokimi karami optuje też Europejska Rada Ochrony Danych Osobowych, która dąży do spójnego stosowania przepisów o ochronie danych w Unii.
W tym zestawieniu Polska zajmuje 15. miejsce w Europie. W ciągu ostatnich pięciu lat, krajowy Urząd Ochrony Danych Osobowych (UODO) zobowiązał firmy do zapłacenia grzywien o wartości 3,4 mln euro. W regionie Europy Środkowo-Wschodniej, Polskę wyprzedziła jedynie Bułgaria z karami na poziomie 3,56 mln euro.
– Sektor technologiczny pozostaje na celowniku regulatorów, a ponieważ w Irlandii i Luksemburgu swoje europejskie siedziby mają globalne firmy technologiczne, to wysoka pozycja tych krajów w rankingu nie dziwi. Wszystko wskazuje na to, że również w tym roku oba państwa będą wiodły prym – powiedziała Ewa Kurowska-Tober, partner DLA Piper w Warszawie i współkierująca Globalnym Zespołem Ochrony Danych Osobowych, Prywatności i Cyberbezpieczeństwa w międzynarodowych strukturach kancelarii.
W ostatnich dwunastu miesiącach irlandzka Komisja ds. Ochrony Danych Osobowych nałożyła na właściciela Facebooka pięć kar o łącznej wartości ponad miliarda euro. Największą grzywnę w wysokości 405 mln euro, koncern Meta otrzymał za brak ochrony dzieci korzystających z Instagrama.
Choć kwestia gromadzenia, przetwarzania i monetyzowania danych osobowych przez firmy technologiczne jest obecnie w centrum zainteresowania regulatorów, to jednak zasady dysponowania danymi są interpretowane w różny sposób przez spółki i nadzorców rynku. Dlatego zdaniem ekspertów DLA Piper, koncerny będą się odwoływać od decyzji organów nadzorczych, a sprawy będą latami toczyć się w sądach.
– Ostatnie decyzje organów kontrolnych stawiają pod znakiem zapytania niepisaną umowę pomiędzy użytkownikami internetu a firmami technologicznymi. W jej ramach, firmy dostarczają “darmowe” usługi w zamian za pozyskane od użytkowników dane osobowe. Ten model funkcjonowania mediów społecznościowych może nie być możliwy w przyszłości, a firmy będą musiały szukać nowych sposobów na komercjalizację swoich usług – komentuje Ewa Kurowska-Tober.
Badanie kancelarii pokazuje również, że w minionym roku ilość naruszeń danych osobowych zgłoszonych regulatorom nieznacznie spadła w porównaniu z rokiem poprzednim. Zdaniem ekspertów DLA Piper może to świadczyć o tym, że organizacje stają się bardziej ostrożne w powiadamianiu organów nadzorczych o naruszeniach bezpieczeństwa w obawie przed dochodzeniami, karami i roszczeniami odszkodowawczymi.
Pod względem ilości zgłaszanych przypadków, Polska w ubiegłym roku plasowała się na trzecim miejscu w Europie, za Niemcami i Holandią. W ostatnich dwunastu miesiącach do UODO wpłynęło 12.748 zgłoszeń w sprawie naruszenia bezpieczeństwa danych osobowych, co stanowiło niewielki spadek w stosunku do poprzedniego roku.
Badanie DLA Piper objęło 27 państw członkowskich Unii Europejskiej oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
