Globalna firma prawnicza DLA Piper już po raz trzeci przygotowała raport o zgłaszanych naruszeniach RODO i upublicznionych przez organy krajowe karach. To nie przypadkowy moment na jego publikację. Od 14 już lat bowiem 28 stycznia obchodzony jest jako Dzień Ochrony Danych Osobowych. To dobra okazja na podsumowanie, jak działa RODO w Polsce i Europie.
Z najnowszego badania wynika, że w okresie od 28 stycznia 2020 roku do 19 stycznia 2021 roku europejskie organy nałożyły kary o łącznej wartości 272,5 mln euro, co stanowi to wzrost o 39 proc. w porównaniu z poprzednim 20-miesięcznym okresem liczonym od chwili rozpoczęcia obowiązywania RODO, czyli od 25 maja 2018 roku. Ponadto w ostatnim roku zgłoszono 121 165 naruszeń. W 2019 roku było ich o 19 proc. mniej - 101 403. To oznacza, że każdego dnia odnotowano 278 naruszeń. Czy to dużo i jak wypada Polska na tle 27 krajów UE?
Wysokie kary, dużo naruszeń
Urząd Ochrony Danych Osobowych odnotował 8 635 przypadków zgłoszeń naruszeń. Tym samym zajął 6. pozycję wśród 27 krajów UE. Z tym, że jak zaznaczają autorzy raportu, nie wszystkie kraje udostępniają dokładne statystyki, a niektóre zgłoszenia mogły też obejmować okres sprzed RODO. W tej klasyfikacji pierwsze miejsce zajmują Niemcy - 77,7 tysiąca zgłoszeń, drugie Holandia - 66,5 tysiąca zgłoszeń, a trzecie Wielka Brytania - 30 tys. zgłoszeń. Choć Zjednoczone Królestwo opuściło Unię 31 stycznia 2020 roku, to wdrożyło i respektuje RODO, stąd zostało ujęte w raporcie. Z kolei całkowita kwota nałożonych kar wyniosła w Polsce 1 705 683 euro, plasując nasz kraj na 9. miejscu w zestawieniu krajów z największymi karami. W tej klasyfikacji wygrywają Włochy - 69,3 mln euro kar, na drugim miejscu są Niemcy - 69 mln euro, a na trzecim Francja z sumą 54,4 mln euro. Ostatnie miejsce przypada Estonii, gdzie łączna suma kar wynosi jedynie 408 euro kar.
Czytaj w LEX: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >
Pandemia sprawia, że kary są niższe
Nadal najwyższą jak dotąd karą pieniężną jest ta nałożona przez francuski organ nadzoru na Google - gigant ma zapłacić 50 mln euro za naruszenia zasady transparentności i braku ważnej zgody. Co ciekawe jednak choć w czerwcu 2019 brytyjski odpowiednik Urzędu Ochrony Danych Osobowych - Information Commissioner's Office, w skrócie ICO brytyjski ICO opublikował ogłoszenia o zamiarze nałożenia 99,2 mln funtów kary na Marriott za ujawnienie danych osobowych gości (na całym świecie chodziło o 339 mln osób, w tym 7 mln Brytyjczyków), to w październiku 2020 roku obniżył ją do 18,4 miliona funtów (ok. 20, mln euro). ICO znacząco obniżył też karę dla brytyjskich linii lotniczych (British Airways) z planowanych 183 milionów funtów do 20 milionów funtów (ok. 22,2 mln euro) za naruszenie danych 400 tys. klientów. - Widzimy pewną pobłażliwość regulatorów w ostatnim roku, wynikającą z trwającej pandemii, co przejawia się obniżeniem kar w kilku głośnych przypadkach z powodu trudności finansowych firm - ocenia Ewa Kurowska-Tober, partner w polskim oddziale DLA Piper i współkierująca globalną Grupą Ochrony Danych, Prywatności i Bezpieczeństwa DLA Piper.
Zobacz procedurę w LEX: Wnoszenie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do sądu administracyjnego >
Sądy też korygują decyzje organów
Z raportu wynika, że przed sądem porażkę poniósł austriacki organ nadzoru. Nałożona przez niego kara 18 mln euro została cofnięta w wyniku apelacji w grudniu 2020 r. Ewa Kurowska-Tober ocenia, że choć organy regulacyjne testują granice swoich uprawnień, to nie w każdym przypadku udaje im się to do końca. Poza Austrią w Europie odnotowano bowiem kilka odwołań, które zakończyły się wynikiem pozytywnym dla skarżących, a także kilka znacznych obniżek nałożonych kar.
Czytaj w LEX: Analiza decyzji administracyjnych Prezesa UODO z lat 2018-2020 >
- Zważywszy na wysokie kwoty kar i ryzyko dalszych roszczeń o rekompensatę spodziewamy się, że będziemy mieć do czynienia z tendencją do większej liczby odwołań i kontynowania silniejszej obrony w procesach o egzekucję - dodaje mec. Ewa Kurowska-Tober. Z tym, że takiej tendencji nie widać w Polsce. W naszym kraju sądach zdecydowanie wygrywa prezes UODO, o czym pisaliśmy w Prawo.pl. Zdaniem wielu prawników, gdyby sędzia - tak jak przy decyzjach prezesa Urzędu Ochrony Konkurencji i Konsumentów - mógł oceniać zasadność decyzji dotyczących naruszenia RODO czy korzystać z biegłych, byłoby mniej przegranych. Przykładowo Wojewódzki Sąd Administracyjny w Warszawie na początku września 2020 roku oddalił skargę spółki Morele.net na decyzję prezesa UODO nakładającą na nią 2,8 miliona złotych kary. Nieco wcześniej, pod koniec sierpnia 2020 roku, WSA oddalił skargę Burmistrza Aleksandrowa Kujawskiego na decyzję UODO, nakładającą 40 tys. zł kary za naruszenie RODO. Pod koniec 2019 roku WSA co prawda uchylił jego decyzję w sprawie Bisnode, ale otworzył tym drogę do nałożenia nawet wyższej kary.
Czytaj w LEX: Analiza decyzji Prezesa UODO nakładającej karę na Morele.net >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
