1,2 mld euro kar za łamanie RODO w 2024 roku

Przeczytaj także: Kary za łamanie RODO wzrosły o 14%

Eksperci kancelarii prawnej DLA Piper uspakajają, że niższa wartość nałożonych kar nie oznacza, że przepisy przestały być egzekwowane. Wysoki wynik z 2023 roku był efektem nałożenia rekordowej kary o wartości 1,2 mld euro na koncern Meta, właściciela serwisów Facebook i Instagram.

Od maja 2018 roku, czyli od początku obowiązywania przepisów RODO, europejskie organy ochrony danych nałożyły łącznie kary o wartości 5,88 mld euro. Najwyższe kary za naruszanie ochrony danych osobowych nakłada Irlandia. Jej urząd ochrony danych nałożył kary o łącznej wartości 3,5 mld euro. To cztery razy więcej niż wartość kar nałożonych przez zajmujący drugie miejsce Luksemburg. Najwyższe kary dotyczą głównie podmiotów z branży technologicznej i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.

Aktywność europejskich regulatorów z pewnością nie spada, pomimo tego, że w zeszłym roku nie widzieliśmy rekordowych kar. Można zauważyć nawet po ich stronie zdecydowanie większą pewność i wyraźną skłonność do nakładania wysokich kar. Duże amerykańskie korporacje z sektora technologii i mediów społecznościowych nadal pozostają w centrum uwagi urzędów ochrony danych. Jednak w 2024 roku regulatorzy bacznie przyglądali się także spółkom z sektora finansowego i energetycznego – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem Prawa Własności Intelektualnej i Nowych Technologii (IPT) w warszawskim biurze DLA Piper.

W 2024 roku najwyższą karę nałożył irlandzki regulator danych osobowych w wysokości 310 mln euro na LinkedIn z powodu naruszeń RODO związanych z legalnością, rzetelnością i przejrzystością przetwarzania danych. Po raz kolejny karę otrzymał też koncern Meta, tym razem w wysokości 251 mln euro. Holenderski organ ochrony danych z kolei ukarał znaną spółkę przewozową kwotą 290 mln euro za transfery danych osobowych swoich kierowców poza Unię Europejską.

Jednak w 2024 roku również inne sektory przyciągały wzmożone zainteresowanie regulatorów. Hiszpański organ ochrony danych nałożył dwie kary o łącznej wartości 6,2 mln euro na jeden z większych banków za niewystarczające środki bezpieczeństwa, a włoski organ ochrony danych ukarał dostawcę usług energetycznych karą w wysokości 5 mln euro za wykorzystywanie nieaktualnych danych klientów. W Polsce Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary na kilka podmiotów z sektora finansowego, w tym karę w wysokości ponad 4 mln złotych na jeden z największych polskich banków za niezawiadomienie osób poszkodowanych naruszeniem danych. Łączna wartość kar wydanych przez polskiego regulatora od początku obowiązywania RODO wynosi niemal 7 mln euro.

W minionym roku w Europie wzrosła też liczba zgłoszeń naruszeń danych osobowych, osiągając średnią 363 zgłoszeń dziennie w porównaniu z 335 w poprzednim roku. W ostatnich latach trzy kraje – Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2024 roku w Holandii zgłoszono 33 471 naruszeń, w Niemczech 27 829, a w Polsce 14 286, wynika z raportu DLA Piper.

Wzrost liczby zgłoszeń jest zgodny z trendami obserwowanymi w zeszłych latach i świadczy o rosnącej skrupulatności firm w raportowaniu naruszeń ze względu na ryzyko związane z potencjalnymi postępowaniami, karami finansowymi i odszkodowaniami – komentuje Piotr Czulak, senior associate w zespole IPT w DLA Piper w Polsce.

Eksperci DLA Piper zauważają również istotne zmiany w podejściu regulatorów do egzekwowania przepisów. Jednym z nowych trendów jest rosnące zainteresowanie odpowiedzialnością osobistą kadry menedżerskiej za naruszenia RODO. Holenderski organ ochrony danych wszczął postępowanie w sprawie możliwości pociągnięcia do odpowiedzialności członków zarządu firmy Clearview AI, która została wcześniej ukarana karą w wysokości 30,5 mln euro. Może to zapoczątkować nowe działania regulatorów w kierunku indywidualnego rozliczania osób odpowiedzialnych za przestrzeganie przepisów.

Postępowanie regulatora względem firmy tworzącej modele służące rozpoznawaniu twarzy za pomocą sztucznej inteligencji wyznacza nowe standardy odpowiedzialności. Po raz pierwszy rozważana jest możliwość pociągnięcia do odpowiedzialności osobistej zarządu za świadome akceptowanie naruszeń. To ostatni sygnał dla wielu menedżerów, którzy nie traktują poważnie swoich zobowiązań w obszarze RODO – podkreśla Ewa Kurowska-Tober.
Raport DLA Piper objął 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Liechtenstein.