W Polsce odnotowano ponad 4,5 tys. skarg dotyczących nieprzestrzegania przepisów RODO, w tym 2 tys. sygnalizowało naruszenie ochrony danych osobowych – informuje Deloitte w raporcie "Living one year with GDPR", podsumowującym rok z RODO w krajach CEE. Liczba zgłoszeń w Polsce jest największa w regionie. Drugie są Czechy (ponad 3 tys. powiadomień).

Najczęstsze problemy

Powiadomienia do UODO najczęściej dotyczyły wysyłania do nieuprawnionych osób korespondecji (e-mail i papierowej) zawierającej dane osobowe. Skarżono się też często na przypadki utraty albo kradzieży informacji z urządzeń i nośników cyfrowych oraz nieskuteczne niszczenie dokumentacji (jak zauważa raport, nierzadko zapis cyfrowy nie jest usuwany przez profesjonalną firmę, a skutek jest taki, że potem poufne informacje wypływają publicznie). W zgłoszeniach do UODO powtarzają się też sytuacje zagubienia dokumentacji papierowej oraz ataki hakerów, które powodują wyciek albo zaszyfrowanie danych, jak w przypadku ransomware.

Dwie kary

Jak dotąd w Polsce wymierzono dwie kary związane z naruszaniami RODO. Pierwsza była bliska 1 mln zł. UODO nałożył 943 tys. zł kary na firmę, która w celach komercyjnych przetwarzała dane osób, ściągając je z zasobów ogólnie dostępnych, m.in. z CEiDG.  

Spółka została ukarana za niedopełnienie obowiązku informacyjnego. W ocenie UODO zainteresowane osoby nie zostały odpowiednio powiadomione, że ich dane są przetwarzane. Firma zamieściła wprawdzie informację na ten temat na swojej stronie internetowej, ale według UODO to nie wystarcza, by spełnić wymagania RODO. Personalnie e-mailem powiadomiono tylko niewielkie grono z 6 mln zainteresowanych (tylu osób dotyczył problem). Szefowa UODO zdecydowała o wysokiej karze ze względu na umyślny w jej ocenie oraz poważny charakter naruszenia. 

Kolejną karę wymierzono w maju br. wobec jednego ze związków sportowych. Ma zapłacić prawie 56 tys. zł za opublikowanie na swojej stronie internetowej danych osobowych sędziów. Sankcja jest stosunkowo niska z uwagi na dobrą współpracę z administratorem i brak informacji o szkodach związanych z ujawnieniem rekordów – wyjaśnił UODO.

Prawie milionowa kara naliczona w Polsce okazuje się jak dotąd najwyższa w regionie. Drugą w kolejności wymierzono na Litwie – 61,5 tys. euro na fintech. Doszło do włamania na serwer firmy, ale ta nie powiadomiła o tym zainteresowanych osób. Lokalny urząd stwierdził również nieprawidłowe przetwarzanie danych i ich ujawnienie. Ponadto około 10 naruszeń odnotowano na Węgrzech (3-40 tys. euro), a 6 niewysokich kar nałożono w Czechach (ok. 390 – 1170 euro).

 

Co sprawdzi UODO

W 2019 r. UODO będzie koncentrować się na kontroli przestrzegania przepisów danych osobowych w takich obszarach jak telemarketing, banki i firmy ubezpieczeniowe (profilowanie użytkowników) oraz systemy identyfikacji i monitoringu odpadów. 

Sprawdzone zostaną również urzędy (ujawnianie danych w informacji publicznej) i służby (policja, straż graniczna – czy są zabezpieczone przed nieautoryzowanym dostępem, mają właściwe procedury zmian i usuwania danych). Kontrolerzy będą także sprawdzać zgodność z RODO systemów monitoringu wideo zarówno w jednostkach publicznych jak i w przedsiębiorstwach.

 

Jak RODO zmieni na rynek

Rok z RODO podsumowaliśmy również w Debacie CRN Polska. Można się z niej dowiedzieć m.in., jakie możliwości RODO stwarza integratorom w najbliższych latach i jak wpłynie na rozwój rynku IT.