Według najnowszego raportu kancelarii prawnej DLA Piper „GDPR Fines and Data Breach Survey”, w 2024 roku europejscy regulatorzy ochrony danych osobowych nałożyli łącznie 1,2 mld euro kar. Zeszłoroczny wynik stanowi spadek o 1/3 w porównaniu z 2023 rokiem, jednak ekspertów kancelarii niepokoi restrykcyjne podejście regulatorów do egzekwowania przepisów. Spadek wynika między innymi z braku rekordowych kar, takich jak kara o wartości 1,2 mld euro nałożona w 2023 roku na koncern Meta, właściciela serwisów Facebook i Instagram.
Od maja 2018 roku, czyli od wprowadzenia RODO, europejskie organy ochrony danych nałożyły kary o wartości 5,88 mld euro. Irlandia jest liderem pod względem egzekwowania przepisów, nałożyła kary o łącznej wartości 3,5 mld euro, co stanowi ponad czterokrotnie więcej niż drugi kraj, Luksemburg. Najwyższe kary dotyczą głównie firm z sektora technologicznego i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.
„Aktywność europejskich regulatorów z pewnością nie spada, pomimo tego, że w zeszłym roku nie widzieliśmy rekordowych kar. Można zauważyć nawet po ich stronie zdecydowanie większą pewność i wyraźną skłonność do nakładania wysokich kar. Duże amerykańskie korporacje z sektora technologii i mediów społecznościowych nadal pozostają w centrum uwagi urzędów ochrony danych. Jednak w 2024 roku regulatorzy bacznie przyglądali się także spółkom z sektora finansowego i energetycznego” – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem Prawa Własności Intelektualnej i Nowych Technologii (IPT) w warszawskim biurze DLA Piper.
W 2024 roku irlandzki regulator danych osobowych nałożył najwyższą karę w wysokości 310 mln euro na LinkedIn za naruszenia RODO związane z legalnością, rzetelnością i przejrzystością przetwarzania danych. Meta również otrzymała karę w wysokości 251 mln euro. Natomiast holenderski organ ochrony danych ukarał znaną spółkę przewozową kwotą 290 mln euro za transfery danych osobowych swoich kierowców poza Unię Europejską.
W 2024 roku zwiększone zainteresowanie regulatorów wykazywały również inne sektory. Hiszpański organ ochrony danych nałożył dwie kary o łącznej wartości 6,2 mln euro na jeden z większych banków za niewystarczające środki bezpieczeństwa, a włoski organ ochrony danych ukarał dostawcę usług energetycznych karą w wysokości 5 mln euro za wykorzystywanie nieaktualnych danych klientów. W Polsce prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary na kilka podmiotów z sektora finansowego, w tym karę w wysokości ponad 4 mln złotych na jeden z największych polskich banków za niezawiadomienie osób poszkodowanych naruszeniem danych. Łączna wartość kar wydanych przez polskiego regulatora od początku obowiązywania RODO wynosi niemal 7 mln euro.
W Europie w minionym roku odnotowano wzrost liczby zgłoszeń naruszeń danych osobowych, osiągając średnią 363 zgłoszeń dziennie w porównaniu z 335 w poprzednim roku. W ostatnich latach Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2024 roku w Holandii zgłoszono 33 471 naruszeń, w Niemczech 27 829, a w Polsce 14 286, wynika z raportu DLA Piper.
„Wzrost liczby zgłoszeń jest zgodny z trendami obserwowanymi w zeszłych latach i świadczy o rosnącej skrupulatności firm w raportowaniu naruszeń ze względu na ryzyko związane z potencjalnymi postępowaniami, karami finansowymi i odszkodowaniami” – komentuje Piotr Czulak, senior associate w zespole IPT w DLA Piper w Polsce.
Według ekspertów z DLA Piper, regulatorzy coraz bardziej skupiają się na egzekwowaniu przepisów, a jednym z nowych trendów jest zwiększone zainteresowanie odpowiedzialnością osobistą menedżerów za naruszenia RODO. Holenderski organ ochrony danych wszczął postępowanie w sprawie możliwości pociągnięcia do odpowiedzialności członków zarządu firmy Clearview AI, która została ukarana karą w wysokości 30,5 mln euro. To może być początkiem nowych działań regulatorów w kierunku indywidualnego rozliczania osób odpowiedzialnych za przestrzeganie przepisów.
„Postępowanie regulatora względem firmy tworzącej modele służące rozpoznawaniu twarzy za pomocą sztucznej inteligencji wyznacza nowe standardy odpowiedzialności. Po raz pierwszy rozważana jest możliwość pociągnięcia do odpowiedzialności osobistej zarządu za świadome akceptowanie naruszeń. To ostatni sygnał dla wielu menedżerów, którzy nie traktują poważnie swoich zobowiązań w obszarze RODO” – podkreśla Ewa Kurowska-Tober.
Raport DLA Piper obejmuje 27 państw członkowskich Unii Europejskiej oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
Cały raport dotyczący naruszeń ochrony danych jest dostępny pod tym adresem: dla-piper-fines-and-data-breach-survey-2025.pdf
Dystrybucja: pap-mediaroom.pl
