27.05.2024
25 maja 2018 roku był kluczową datą dla handlu online oraz całego świata cyfrowego: wraz z wejściem w życie Ogólnego rozporządzenia o ochronie danych osobowych (RODO), firmy w Unii Europejskiej musiały spełnić nowe obowiązki dotyczące zbierania, przechowywania i wykorzystywania danych osobowych – wszystko po to, by chronić prywatność osób fizycznych.
Szybko stało się jasne, że firmy nie powinny lekceważyć tych przepisów. Coraz więcej naruszeń ujawniano w branży, a winne przedsiębiorstwa były obciążane ogromnymi karami.
Kary za naruszenie RODO sięgają 4,5 miliarda euro
W ciągu ostatnich sześciu lat różne organy ochrony danych zarejestrowały 2072 naruszenia RODO. W związku z tym nałożono kary w wysokości 4,5 miliarda euro. Takie dane przedstawia specjalista ds. cyberbezpieczeństwa NordLayer, który analizował informacje z bazy danych „GDPR Enforcement Tracker”. RODO, czyli Ogólne rozporządzenie o ochronie danych osobowych, to unijne rozporządzenie mające na celu ochronę danych osobowych obywateli UE oraz regulujące sposób przetwarzania takich danych przez przedsiębiorstwa.
„Obserwowaliśmy, jak firmy z różnych branż zmieniały swoje podejście do danych i inwestowały w środki bezpieczeństwa, aby spełnić wymogi”, komentuje Carlos Salas, ekspert ds. bezpieczeństwa w NordLayer. „Choć pełna zgodność z RODO była dla wielu firm wyzwaniem, wpływ tego rozporządzenia na ochronę osób fizycznych i pociąganie firm do odpowiedzialności za niewłaściwe postępowanie z danymi nie może być przeceniony.”
Top 10: Firmy z najwyższymi karami
Analiza dziesięciu największych grzywien RODO pokazuje, że na liście przodują znane giganty technologiczne. Oprócz Facebooka (Meta) znajdują się tam m.in. Amazon, TikTok oraz Google.
Według NordLayer niechlubnym „zwycięzcą” rankingu jest Meta, właściciel Facebooka, Instagrama i WhatsAppa: „Meta najczęściej narusza przepisy RODO. Z dziesięciu najwyższych grzywien sześć dotyczy tej firmy (cztery związane z Meta, jedno z Facebookiem i jedno z WhatsAppem). Największe naruszenie kosztowało firmę 1,2 miliarda euro za brak odpowiedniej podstawy prawnej do przetwarzania danych w 2023 roku.” Naruszenie RODO to działania lub zaniedbania firm, które prowadzą do niezgodnego z przepisami przetwarzania danych osobowych.
Oto lista NordLayer z kwotami kar, rokiem oraz krajem:
- Meta Platforms Ireland Limited: 1,2 miliarda euro (2023, Irlandia)
- Amazon Europe Core S.à.r.l.: 746 milionów euro (2021, Luksemburg)
- Meta Platforms, Inc.: 405 milionów euro (2022, Irlandia)
- Meta Platforms Ireland Limited: 390 milionów euro (2023, Irlandia)
- TikTok Limited: 345 milionów euro (2023, Irlandia)
- Meta Platforms Ireland Limited: 265 milionów euro (2022, Irlandia)
- WhatsApp Ireland Ltd.: 225 milionów euro (2021, Irlandia)
- Google LLC: 90 milionów euro (2021, Francja)
- Enel Energia SpA: 79 milionów euro (2024, Włochy)
- Facebook Ireland Ltd.: 60 milionów euro (2021, Francja)
Niemcy na trzecim miejscu pod względem liczby naruszeń RODO
Analiza wykazuje znaczące różnice regionalne w przestrzeganiu wymogów RODO. Pod względem liczby naruszeń wyodrębniły się następujące kraje:
- Hiszpania zajmuje niechlubne pierwsze miejsce z 842 naruszeniami i karami o łącznej wysokości 80 milionów euro.
- Włochy znajdują się na drugim miejscu z 358 naruszeniami i karami wynoszącymi niemal 229 milionów euro.
- Niemcy są na trzecim miejscu: odnotowano tam 186 naruszeń RODO z karami o łącznej wysokości 55 milionów euro.
Z analizy wynika, że liczba naruszeń nie zawsze koreluje z wysokością nałożonych kar. Przykład Irlandii jest tego najlepszym dowodem: mimo że kraj ten nie znajduje się w czołówce pod względem liczby naruszeń, sumy nałożonych kar wynoszą tam aż 2,8 miliarda euro. „Głównym powodem jest to, że kilka dużych firm technologicznych, takich jak Meta i TikTok, ma tam swoje europejskie siedziby i zostały ukarane wysokimi grzywnami”, czytamy w raporcie NordLayer.
RODO: maraton, nie sprint
Dla firm przestrzeganie przepisów prawnych to zadanie długoterminowe. „Osiągnięcie i utrzymanie zgodności z RODO to ciągłe zadanie, a nie jednorazowy cel”, mówi Carlos Salas z NordLayer. „Przepisy dotyczące ochrony danych ewoluują, a zagrożenia cybernetyczne stają się coraz bardziej skomplikowane, dlatego firmy muszą pozostawać proaktywne w kwestiach ochrony danych i bezpieczeństwa.”
Przetwarzanie danych to wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, przechowywanie, wykorzystywanie, modyfikowanie, czy usuwanie danych.
RODO to nie tylko zestaw przepisów, ale i zobowiązanie do długofalowej ochrony danych osobowych i stałego dostosowywania się do zmieniających się warunków i zagrożeń w świecie cyfrowym.