W 2022 r. rekordowo wysokie kary za naruszenie RODO

W Europie kontrole obejmują cyfrowych gigantów, w Polsce – głównie aplikacje mobilne i sieciowe.

Publikacja: 27.01.2023 03:05

Urząd Ochrony Danych Osobowych w Warszawie

Urząd Ochrony Danych Osobowych w Warszawie

Foto: PAP/Wojciech Olkuśnik

Dzień Ochrony Danych Osobowych, przypadający 28 stycznia to dobry moment na podsumowanie działania głównego aktu prawnego w tej dziedzinie: osławionego RODO. Jak wynika z raportu kancelarii prawnej DLA Piper, suma kar nałożonych przez europejskie urzędy ochrony danych od maja 2018 r. – kiedy RODO zaczęło obowiązywać – wyniosła 2,9 mld. euro. Ponad połowa z tej sumy (1,83 mld) przypada na 2022 r., rekordowy pod tym względem.

Miliardy w Irlandii

Prym wiedzie tu Irlandia – gdzie Komisja ds. Ochrony Danych Osobowych nałożyła 1,3 mld euro kar. Ponad miliard z tej sumy przypada na firmę Meta (właściciela m.in. Facebooka), wobec którego orzeczono pięć kar – najwyższą na 405 mln euro za niedostateczną ochronę dzieci korzystających z Instagrama. Na podium plasują się jeszcze Luksemburg (746 mln euro) i Francja (428 mln euro) – w tych krajach bowiem też swoje centrale mają technologiczni giganci. Polska znalazła się na 15 miejscu w UE (3,4 mln euro).

Czytaj więcej

Kar wynikających z RODO da się uniknąć

– Kary na gigantów technologicznych są najbardziej nagłaśniane medialnie i przez to najbardziej znane. Ale już np. polska praktyka pokazuje, że wiele postępowań nie kończy się karą finansową, a np. upomnieniami albo zakazem określonego przetwarzania danych – mówi adwokat Olga Legat z EY, specjalizująca się w tematyce ochrony danych osobowych.

– I one są najczęściej stosowane, nie tylko wobec gigantów technologicznych – ale mniej się o tym słyszy – dodaje mec, Olga Legat.

Ekspertka podkreśla, że środki te są również skuteczne (we wszystkich państwach UE), zwłaszcza gdy administrator współpracuje z urzędem i poprawia wytknięte mu błędy – mogą też być odpowiedniejsze w przypadku NGO i organów państwowych.

– Wysokie kary wynikają z przyjętego w RODO modelu kary zależnej od wysokości obrotu. Więc jeśli mówimy o „cyfrowych gigantach”, to i kary będą gigantyczne. Pamiętajmy jednak, że kara według RODO ma być nie tylko proporcjonalna, ale też odstraszająca – po to, by inne podmioty też dostosowały swoją działalność do wymogów, zanim będzie za późno. – mówi Ewa Kurowska-Tober, radczyni prawna z DLA Piper, specjalistka z zakresu ochrony dany osobowych.

I dodaje, że kary wobec cyfrowych gigantów dotyczyły kwestii takich jak brak transparentności, prawo użytkowników do informacji o tym, kto i w jakim celu przetwarza ich dane oraz ochrony danych dzieci. Kary nakładane w Polsce są dużo niższe, zwykle kilkanaście lub kilkadziesiąt tys. zł (najwyższa to 5 mln zł).

Czytaj więcej

Krajobraz po RODO, czyli wnioski po czterech latach

Planowo pod lupę

W styczniu plan kontroli sektorowych przedstawił Urząd Ochrony Danych Osobowych. Wskazano w nim przede wszystkim na przetwarzanie danych w aplikacjach webowych i mobilnych. Ewa Kurowska-Tober wskazuje, że polski organ koncentruje się na innych kwestiach niż w Europie Zachodniej.

– Tam duży nacisk kładzie się na przetwarzanie danych przez cyfrowych gigantów, ale też na transfer danych poza europejski obszar gospodarczy (głównie do USA) – tłumaczy ekspertka.

Kampanię w tej sprawie od lat prowadzi Max Schrems i organizacja „Not of Your Business”, ale choć złożyła ona skargi także w Polsce, nie przełożyło się to na duże zainteresowanie UODO.

Z kolei Olga Legat wskazuje, że aplikacje mobilne i webowe dostarcza wiele podmiotów krajowych, choćby banki.

– Dlatego UODO będzie miał tu dużo pracy, ale może to mieć znaczący wpływ na bezpieczeństwo danych osobowych Polaków – komentuje.

Adw. Katarzyna Szczudlik, partnerka w SSW Pragmatic Solutions mówi, że „kontrole sektorowe” faktycznie są „crossektorowe”, bo aplikacje webowe i mobilne mogą się pojawić w każdym z sektorów.

– To niestandardowe podejście prezesa UODO może mieć działanie odstraszające o tyle, że wszystkie organizacje przetwarzające dane w aplikacjach, niezależnie od sektora, będą wiedziały, że mogą spodziewać się kontroli. To dobry krok z punktu widzenia bezpieczeństwa przetwarzania danych konsumentów i z tej perspektywy trochę idziemy za trendami europejskimi – dodaje.

Ewa Kurowska-Tober podkreśla zaś, że mimo upływu niecałych pięciu lat RODO to wciąż stosunkowo nowa regulacja. I wszyscy się jej jeszcze uczymy – sędziowie, urzędnicy, użytkownicy i prawnicy.

Opinia dla „Rzeczpospolitej”
Jacek Młotkiewicz, dyrektor Departamentu Kontroli i Naruszeń, Urząd Ochrony Danych Osobowych

Zgodnie z rocznym planem kontroli sektorowych w 2023 roku UODO zweryfikuje sposób przetwarzania danych osobowych przy użyciu internetowych oraz mobilnych aplikacji. O wyborze zadecydowały pojawiające się coraz częściej zagrożenia naruszania przepisów o ochronie danych osobowych przez podmioty, które przetwarzają dane osobowe, korzystając z takich aplikacji, a także duże społeczne zainteresowanie tego typu zagadnieniami. Zapewnienie zgodnego z RODO przetwarzania danych osobowych jest szczególnie istotne z uwagi na popularność i powszechny dostęp internetowych czy mobilnych aplikacji oraz odpowiedzialność administratorów za wybór środków organizacyjnych i technicznych, które odpowiednio zabezpieczą przetwarzane dane osobowe. Kontrolami zostaną także objęte organy przetwarzające dane SIS i dane VIS. Obowiązek ich kontroli związany jest z naszą obecnością w strefie Schengen.


Dzień Ochrony Danych Osobowych, przypadający 28 stycznia to dobry moment na podsumowanie działania głównego aktu prawnego w tej dziedzinie: osławionego RODO. Jak wynika z raportu kancelarii prawnej DLA Piper, suma kar nałożonych przez europejskie urzędy ochrony danych od maja 2018 r. – kiedy RODO zaczęło obowiązywać – wyniosła 2,9 mld. euro. Ponad połowa z tej sumy (1,83 mld) przypada na 2022 r., rekordowy pod tym względem.

Miliardy w Irlandii

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe