„Pierwszy kurz RODO" opadł. Organizacje muszą być świadome, że przepisy RODO nie będą martwymi przepisami. A niestety wydaje się, że część organizacji lekceważy nowe regulacje i w dalszym ciągu lekkomyślnie podchodzi do ochrony danych osobowych. Szacuje się, że nawet 50% polskich przedsiębiorców nie poradziło sobie z pełnym wdrożeniem RODO. Należy przypuszczać, że ta liczba jest i tak przeszacowana, a jednak jak dotąd polski organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych nikogo nie ukarał. – wskazuje adw. Marcin Zadrożny, ekspert ds. ochrony danych, ODO 24.
Czytaj także: Kary w RODO: skutecznie, proporcjonalnie i odstraszająco
Pierwsze finansowe kary w Europie są już nakładane. Organ nadzorczy w Portugalii, tj. Comissao Nacional de Proteçao de Dados (CNPD) (Komisja Ochrony Danych) nałożył na szpital Barreiro Montijo karę w wysokości 400.000,00 Euro, czyli ok 1,7 mln zł. W ocenie organu szpital nie zastosował odpowiednich technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, czyli personelu szpitala. W ocenie organu nieuprawniony personel miał dostęp do danych medycznych, jak również szpital nie miał odpowiednich procedur, które pozwalały na weryfikację, czy konta już nie pracujących w szpitalu osób zostały usunięte. Szpital podnosił, że oprogramowanie, z którego korzysta szpital, a dostarczone przez podmiot trzeci ma ograniczenia funkcjonalne. Jednakże taka argumentacja nie przekonała portugalskiego organu nadzorczego. To rolą administratora danych jest dostosowanie zabezpieczeń.
Globalni gracze niedługo również mogą doświadczyć negatywnych konsekwencji RODO. Za naruszenie bezpieczeństwa i wyciek danych z niemal 50 mln kont użytkowników Facebooka, portalowi grozi kara finansowa w wysokości nawet 1,63 mld dol. W październiku również brytyjskie Biuro Rzecznika ds. Informacji (ICO) nałożyło karę na spółkę Heathrow Airport Limited w wysokości 120.000,00 funtów. Finansowa kara jest niska, ponieważ postępowanie toczyło się zgodnie z przepisami o ochronie danych z 1998 r. a nie na podstawie RODO, z uwagi na czas wystąpienia zdarzenia – 16 października 2017 roku, przypadkowa osoba znalazła pamięć USB, która została zgubiona przez pracownika Heathrow Airport Limited. Jednakże ICO podkreślił, że „ochrona danych jest kwestią zarządu i konieczne jest aby spółka posiadała polityki, procedury oraz szkolenia, w celu minimalizacji podatności informacji osobistych, które zostały im powierzone." Jak ustalił organ nadzorczy Heathrow Airport Limited przeszkoliło jedynie 2% z 6.500 pracowników.
Przepisy RODO są egzekwowane w Europie, a organizacje zgłaszają krajowym organom nadzorczym incydenty, czyli naruszenia ochrony danych, które mogą naruszać prawa i wolności osób, których dane dotyczą. Tytułem przykładu francuski urząd ochrony danych, tj. CNIL wskazuje, że od 25 maja do 1 października zgłoszono 742 przypadków naruszenia danych, które dotyczyły 33.727.384 osób we Francji i innych krajach. Spośród zgłoszonych naruszeń 421 było wynikiem programów wyłudzających informacje i ataków na oprogramowanie. CNIL podkreśla, że będzie stanowczo karać każde przedsiębiorstwo, które naruszyło wymogi dotyczące zgłaszania naruszeń w zakresie danych dotyczących RODO. Dla porównania do polskiego organu nadzorczego wpłynęło około 1.800 zgłoszeń od administratorów danych.