6 godzin temu
Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał 20 opublikowanych decyzji nakładających administracyjne kary pieniężne na 24 podmioty w ub.r. Łączna wartość nałożonych kar wyniosła blisko 14 mln zł, z czego najwyższa sięgnęła nieco ponad 4 mln zł, a najniższa nie przekroczyła 1 tys. zł, wynika z raportu Grant Thornton.
„Kary nałożone na podmioty prywatne stanowiły zdecydowaną większość – nałożono na nie łącznie 19 administracyjnych kar pieniężnych, czyli blisko 80% wszystkich kar. Ich całkowita wartość wyniosła 13,7 mln zł, co oznacza 98,7% wartości wszystkich kar. Z kolei na podmioty publiczne nałożono w tym okresie jedynie 5 administracyjnych kar pieniężnych, co stanowiło nieco ponad 20% wszystkich kar o łącznej wartości 185 000 zł, czyli 1,3% wartości wszystkich kar” – czytamy w komunikacie poświęconym raportowi „Kto płaci za brak ochrony danych osobowych?”.
Administracyjne kary pieniężne nałożone na przedsiębiorstwa skupiały się przede wszystkim na spółkach kapitałowych, które odpowiadały za blisko 94% całkowitej wartości kar.
Łączna liczba osób, których dotyczą naruszenia powstałe w wyniku działań lub zaniechań ukaranych podmiotów, wynosi ponad 2,4 mln. W rzeczywistości liczba ta może być jednak znacznie wyższa, ponieważ część administratorów nie była w stanie dokładnie określić liczby osób dotkniętych incydentami lub informacja ta nie była wskazana w uzasadnieniu decyzji prezesa UODO.
W jednym przypadku doszło do naruszenia danych osobowych ok. 2,2 mln osób, co w znaczący sposób wpłynęło na wysokość nałożonej administracyjnej kary pieniężnej (3,8 mln zł). Wśród decyzji nakładających kary pojawiły się zarówno przypadki naruszenia danych osobowych jednej osoby, jak i sytuacje, gdy doszło do naruszenia danych osobowych ponad 10 000 osób. Pokazuje to, iż administratorzy powinny dbać o odpowiednie bezpieczeństwo danych osobowych przetwarzanych w ramach baz danych, ale również danych osobowych pojedynczych osób, podkreślono.
„Prezes UODO wszczął postępowanie w związku ze zgłoszeniem naruszenia ochrony danych osobowych (dalej incydent) przez administratora w ok. 55% przypadków, co skutkowała nałożeniem łącznie ponad 11,5 mln zł kar pieniężnych. Oznacza to, iż prezes UODO zwraca szczególną uwagę na zgłoszenie organowi nadzorczemu incydentu bez zbędnej zwłoki. Pojawiły się również przypadki, gdy postępowanie zostało wszczęte z uwagi na informację od podmiotu trzeciego (bez stosowanego zgłoszenia incydentu ze strony administratora)” – czytamy dalej.
Stanowi to istotną wskazówkę dla administratorów, żeby nie ukrywali ewentualnych incydentów w obszarze ochrony danych osobowych. Administratorzy powinni także natychmiast podjąć niezbędne działania mające na celu ocenę powstałego zdarzenia oraz dokonać zgłoszenia do organu nadzorczego zgodnie z przepisami RODO.
Wśród administracyjnych kar pieniężnych są również przypadki kar nałożonych w związku z brakiem udzielania informacji przez administratora na wezwanie prezesa UODO, a także w związku z czynnościami kontrolnymi. Administratorzy powinni mieć zatem na względzie, iż zaniechania w zakresie współpracy z organem nadzorczym (np. w przypadku braku odbioru korespondencji) również mogą wiązać się z konsekwencjami finansowymi. Powinni mieć także świadomość, iż zapewnienie zgodności procesów przetwarzania z RODO ma charakter ciągły – dzięki cyklicznym audytom podmioty będą lepiej przygotowane na ewentualne kontrole ze strony pracowników UODO, zakończono.
Źródło: ISBnews
