RODO wdrożono 7 lat temu, teraz wchodzi KSC. Czy znów posypią się kary?

Przeczytaj także: NIS2, DORA i AI Act weszły już w życie. Czy to koniec wyzwań dla zespołów compliance i cybersec?

Milionowe kary to nie straszak a rzeczywistość

Rozporządzenie o ochronie danych osobowych, czyli RODO zostało przyjęte przez Parlament Europejski w kwietniu 2016 roku, natomiast dwa lata później odpowiednią ustawą przepisy zostały wprowadzone w Polsce. Dostosowanie działania firm do nowych norm prawnych w zakresie przechowywania danych okazało się znacznym wyzwaniem, zaś obawy były potęgowane m. in. przez groźbę gigantycznych kar: do 10 lub 20 mln euro oraz do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku, w zależności od danego wykroczenia.

Kary okazały się nie tylko groźbą. Już pod koniec 2019 r. na Virgin Mobile, popularną wówczas sieć telefonii komórkowej nałożono karę sięgającą niemal 2 mln zł. Pomimo odwołań, ostateczna kara wyniosła aż 1,6 mln zł.

Kilka lat po uchwaleniu przepisów, polskie firmy nadal mają kłopot ze skutecznym wdrażaniem polityki ochrony danych, w tym danych osobowych. I tak suma kar pieniężnych z nałożonych przez Prezesa UODO decyzji w 2024 roku wyniosła około 14 mln zł – donosi GrantThornton¹. Najwyższa nałożona w 2024 r. przez Prezesa UODO administracyjna kara pieniężna to z kolei 4 053 173 zł i stanowiła 29,2% wartości wszystkich kar.

Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, że 80% przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20% administracji publicznej i państwowej² – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Nastawienie zależne od wielkości firmy

Pomimo iż odpowiednie akty prawne funkcjonują od lat, w znaczącej części polskich przedsiębiorstw wciąż dopełnienie wymagań okazuje się… niewiadomą.

W 32% polskich firm nadal nie ma pewności, czy odpowiednio dostosowano się do przepisów RODO – wynika z raportu „Cyberportret polskiego biznesu” stworzonego przez ESET i DAGMA Bezpieczeństwo IT.

Mimo to nastawienie przedstawicieli firm do przepisów i ich wdrożenia w danej firmie jest stosunkowo pozytywne. Blisko 7 na 10 przedstawicieli firm badanych przez ESET i DAGMA Bezpieczeństwo IT uważa, że w skuteczny sposób dostosowały się do wymogów przepisów RODO.

Z drugiej strony obserwujemy, że nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71% badanych. Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy (51%). W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we właściwej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo – dodaje Kamil Sadkowski.

Badanie ESET i DAGMA Bezpieczeństwo IT potwierdza, że w większości przedsiębiorstwa wypracowały odpowiednie procedury związane z ochroną danych osobowych oraz ich przechowywaniem, na co zwraca uwagę aż 68% ankietowanych.

W niemal 2/3 firm deklaruje się transparentność w zbieraniu i przetwarzaniu danych osobowych klientów i kontrahentów oraz stosowanie ograniczonego i dodatkowo zabezpieczonego dostępu pracowników do firmowych zasobów zawierających dane szczególnej kategorii.

Zastanawiać może, że około 1/3 respondentów nie postrzega swojego pracodawcy jako firmy przestrzegającej kwestii związanych z RODO – wskazuje Kamil Sadkowski.

Wchodzi KSC: Czy znów posypią się kary?

W lutym 2025 roku pojawiła się kolejna, piąta wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Przepisy mają wdrożyć unijną dyrektywę NIS2 w zakresie bezpieczeństwa cyfrowego, a instytucje i firmy czeka sporo wyzwań.

Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie. Dla tzw. podmiotów kluczowych, czyli np. administracja publiczna, sektor zdrowia, przedsiębiorstwa energetyczne, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln euro lub 2 proc. przychodów osiągniętych przez podmiot w roku poprzednim. Z kolei dla podmiotów ważnych mogą wynieść maksymalnie 7 mln euro lub 1,4 proc. przychodów.

Zwróciłbym uwagę na fakt, że o ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak: IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS (poprzedniczka NIS2) spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa. – komentuje Kamil Sadkowski.

1. https://grantthornton.pl/publikacja/kto-placi-za-naruszenie-rodo-kary-pieniezne-nalozone-przez-prezesa-uodo-w-2024-r-raport/
2. Jw.

* Raport „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników” oparto na badaniu opinii, przeprowadzonym w terminie 23.05 - 10.06 2024 r. Pomiar zrealizowano metodą CAWI za pomocą profesjonalnej ankiety online przy wsparciu instytutu ARC Rynek i Opinia. Pomiar przeprowadzono na próbie 1032 Polaków wykonujących obowiązki służbowe przy komputerze minimum przez 3 dni w tygodniu. Zdecydowana większość badanych (88%) wykonywała swoje zadania służbowe codziennie przy wykorzystaniu sprzętu elektronicznego od pracodawcy. Próba objęła także tzw. boost n=256 osób zaangażowanych w działania z zakresu cyberbezpieczeństwa w swoim miejscu zatrudnienia. Analizy w raporcie dotyczą badanych ekspertów ds. cyberbezpieczeństwa z firm liczących przynajmniej 10 pracowników (n=227). Na grono ekspertów ds. cyberbezpieczeństwa składała się różnorodna grupa respondentów, od praktyków monitorujących, zabezpieczających i audytujących firmowe systemy bezpieczeństwa, przez osoby wpływające na budżety na ten cel i menedżerów zespołów cybersecurity, aż po szkoleniowców w tym zakresie.