Analizy
Raport: Living one year with GDPR
Practitioner Perspective
Czerwiec 2019
25 maja 2019 roku minął rok od momentu rozpoczęcia stosowania nowych przepisów dotyczących ochrony danych osobowych. Z całą pewnością Ogólne Rozporządzenie o Ochronie Danych („RODO”) jest jednym z najważniejszych wyzwań w zakresie zgodności z przepisami, z jakim musiały się zmierzyć podmioty (przedsiębiorcy) w ostatnim czasie.
Wprowadzenie i zastosowanie nowych przepisów prawnych stworzyło poważne wyzwanie dla całego rynku na terenie Unii Europejskiej. Chcąc przybliżyć Państwu zmiany i problemy, z którymi mierzą się dziś również nasi sąsiedzi z Europy Środkowej, przygotowaliśmy opracowanie, które przedstawia główne zmiany przepisów prawa krajowego w zakresie ochrony danych osobowych, przegląd dotyczący przeprowadzanych lub planowanych kontroli i nałożonych kar za naruszenie przepisów RODO, a także najczęstszych obszarów naruszeń ochrony danych osobowych. O głównych wyzwaniach, najlepszych praktykach, sektorowych inicjatywach, przepisach regionalnych i podejściu lokalnych organów ochrony danych do tych zagadnień – pisaliśmy w poprzednim raporcie.
Raport jest zbiorem spostrzeżeń ekspertów Deloitte z Europy Środkowej (Polski, Słowacji, Rumunii, Bułgarii, Czech, Litwy, Węgier i Chorwacji), które opierają się na obserwacjach rynkowych i doświadczeniach zdobytych podczas realizacji różnych projektów związanych z wdrożeniem RODO.
Wnioski z raportu:
Największą liczbę skarg, dotyczących przypadków naruszenia postanowień RODO w krajach Europy Środkowej i Wschodniej, odnotowano w Polsce: wyniosła ona ponad 4.500. Zgłoszono przy tym 2.000 powiadomień o naruszeniu ochrony danych osobowych. Drugie miejsce zajmują Czechy z liczbą ponad 3.000 skarg. Na podstawie 626 z nich wszczęto postępowania administracyjne. Administratorzy i podmioty przetwarzające dane w Rumunii przekazali powiadomienia dotyczące niemal 400 przypadków naruszenia ochrony danych. Jeszcze mniej powiadomień przekazano w Słowenii (110) i na Litwie (100). Pozostałe kraje nie udostępniły tego rodzaju informacji. Z nieoficjalnych danych wynika jednak, że węgierski Urząd Ochrony Danych wszczął ponad 2.000 postępowań. Zgłoszono natomiast 380 incydentów, związanych z naruszeniem ochrony danych. Przypadki naruszenia ochrony danych z regionu Europy Środkowej i Wschodniej dotyczą w większości utraty danych, kradzieży i nieupoważnionego dostępu do danych osobowych.
W Rumunii wszczęto ponad 450 inspekcji, nie nałożono jednak kar. Wydano natomiast zalecenia, dotyczące działań naprawczych oraz ostrzeżenia. W Czechach odnotowano dotychczas sześć przypadków ukarania podmiotu za działania niezgodnie z RODO. Decyzje wydane w tych sprawach stały się prawomocne. Dotyczą one przede wszystkim niewłaściwej ochrony danych i przetwarzania danych bez niezbędnych zgód, a kwoty nałożonych kar wahają się od ok.390 EUR do 1.170 EUR.
Natomiast kary nałożone na Węgrzech (dotyczące około dziesięciu naruszeń) wahają się pomiędzy 3.000 EUR a 40.000 EUR. Najwyższą kwotę kary zasądzono za niepowiadomienie właściwych organów i osób, których dane dotyczą, o przypadku naruszenia w odniesieniu do bazy danych użytkowników, której administratorem była partia polityczna, zawierającej nazwiska, adresy mailowe i zaszyfrowane hasła dostępu użytkowników, które wskutek ataku hakerskiego stały się dostępne w witrynie tej partii.
Na Litwie Urząd Ochrony Danych nałożył niedawno pierwszą karę w kwocie 61.500 EUR na firmę FinTech w związku z nieprawidłowym przetwarzaniem danych, ujawnieniem danych osobowych i niepowiadomieniem o tym osób, których dane dotyczą. Do serwera firmy włamano się w lipcu 2018 roku. W wyniku tego zdarzenia dane osobowe jej klientów stały się dostępne w formie 9.000 zrzutów z ekranu transakcji bankowych. W toku kontroli stwierdzono, że za bezpieczeństwo i zarządzanie danymi w tej firmie odpowiadała tylko jedna osoba.
Najwyższą w regionie karę związaną z naruszeniem RODO nałożono jednak w Polsce (w marcu 2019 roku). Wynosi ona ok. 1.000.000 PLN (230.000 EUR) i dotyczy niepowiadomienia osób, których dane dotyczą o ich przetwarzaniu przez administratora danych. Ukarana firma pozyskiwała dane osobowe ze źródeł publicznych i przetwarzała je dla zysku.
We wszystkich badanych krajach Europy Środkowej i Wschodniej (oprócz Słowenii, gdzie trwa proces opracowywania przepisów), wdrożono krajowe przepisy dotyczące ochrony danych osobowych, ze szczególnym naciskiem na kwestie dotyczące relacji z pracownikami, systemów kamer przemysłowych i sektorów silnie regulowanych.
