W 2024 roku europejscy regulatorzy ochrony danych osobowych nałożyli łącznie 1,2 mld euro kar, wynika z najnowszego raportu kancelarii prawnej DLA Piper „GDPR Fines and Data Breach Survey”. Zeszłoroczny wynik stanowi spadek o 1/3 w porównaniu z 2023 rokiem, jednak zdaniem ekspertów kancelarii nie oznacza to, że zmieniło się restrykcyjne podejście regulatorów do egzekwowania przepisów. Spadek wynika między innymi z faktu, że w ubiegłym roku nie było rekordowych kar, takich jak kara o wartości 1,2 mld euro nałożona w 2023 roku na koncern Meta, właściciela serwisów Facebook i Instagram.
Liderzy w egzekwowaniu RODO
Od maja 2018 roku, czyli od początku obowiązywania przepisów RODO, europejskie organy ochrony danych nałożyły łącznie kary o wartości 5,88 mld euro. Irlandia pozostaje wiodącym krajem pod względem egzekwowania przepisów. Jej urząd ochrony danych nałożył kary o łącznej wartości 3,5 mld euro, co stanowi ponad czterokrotnie większą kwotę niż wartość kar nałożonych przez zajmujący drugie miejsce Luksemburg. Najwyższe kary dotyczą głównie podmiotów z branży technologicznej i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.
Coraz większa pewność regulatorów
– Aktywność europejskich regulatorów z pewnością nie spada, pomimo tego, że w zeszłym roku nie widzieliśmy rekordowych kar. Można zauważyć nawet po ich stronie zdecydowanie większą pewność i wyraźną skłonność do nakładania wysokich kar. Duże amerykańskie korporacje z sektora technologii i mediów społecznościowych nadal pozostają w centrum uwagi urzędów ochrony danych. Jednak w 2024 roku regulatorzy bacznie przyglądali się także spółkom z sektora finansowego i energetycznego – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem Prawa Własności Intelektualnej i Nowych Technologii (IPT) w warszawskim biurze DLA Piper.
Najwyższe kary w 2024 roku
W 2024 roku najwyższą karę nałożył irlandzki regulator danych osobowych w wysokości 310 mln euro na LinkedIn z powodu naruszeń RODO związanych z legalnością, rzetelnością i przejrzystością przetwarzania danych. Po raz kolejny karę otrzymał też koncern Meta, tym razem w wysokości 251 mln euro. Holenderski organ ochrony danych z kolei ukarał znaną spółkę przewozową kwotą 290 mln euro za transfery danych osobowych swoich kierowców poza Unię Europejską.
Większa kontrola w sektorach finansowym i energetycznym
Jednak w 2024 roku również inne sektory przyciągały wzmożone zainteresowanie regulatorów. Hiszpański organ ochrony danych nałożył dwie kary o łącznej wartości 6,2 mln euro na jeden z większych banków za niewystarczające środki bezpieczeństwa, a włoski organ ochrony danych ukarał dostawcę usług energetycznych karą w wysokości 5 mln euro za wykorzystywanie nieaktualnych danych klientów. W Polsce Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary na kilka podmiotów z sektora finansowego, w tym karę w wysokości ponad 4 mln złotych na jeden z największych polskich banków za niezawiadomienie osób poszkodowanych naruszeniem danych. Łączna wartość kar wydanych przez polskiego regulatora od początku obowiązywania RODO wynosi niemal 7 mln euro.
Wzrost liczby zgłoszeń naruszeń danych
W minionym roku w Europie wzrosła też liczba zgłoszeń naruszeń danych osobowych, osiągając średnią 363 zgłoszeń dziennie w porównaniu z 335 w poprzednim roku. W ostatnich latach trzy kraje – Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2024 roku w Holandii zgłoszono 33 471 naruszeń, w Niemczech 27 829, a w Polsce 14 286, wynika z raportu DLA Piper.
– Wzrost liczby zgłoszeń jest zgodny z trendami obserwowanymi w zeszłych latach i świadczy o rosnącej skrupulatności firm w raportowaniu naruszeń ze względu na ryzyko związane z potencjalnymi postępowaniami, karami finansowymi i odszkodowaniami – komentuje Piotr Czulak, senior associate w zespole IPT w DLA Piper w Polsce.
Nowy trend: odpowiedzialność menedżerów
Eksperci DLA Piper zauważają również istotne zmiany w podejściu regulatorów do egzekwowania przepisów. Jednym z nowych trendów jest rosnące zainteresowanie odpowiedzialnością osobistą kadry menedżerskiej za naruszenia RODO. Holenderski organ ochrony danych wszczął postępowanie w sprawie możliwości pociągnięcia do odpowiedzialności członków zarządu firmy Clearview AI, która została wcześniej ukarana karą w wysokości 30,5 mln euro. Może to zapoczątkować nowe działania regulatorów w kierunku indywidualnego rozliczania osób odpowiedzialnych za przestrzeganie przepisów.
– Postępowanie regulatora względem firmy tworzącej modele służące rozpoznawaniu twarzy za pomocą sztucznej inteligencji wyznacza nowe standardy odpowiedzialności. Po raz pierwszy rozważana jest możliwość pociągnięcia do odpowiedzialności osobistej zarządu za świadome akceptowanie naruszeń. To ostatni sygnał dla wielu menedżerów, którzy nie traktują poważnie swoich zobowiązań w obszarze RODO – podkreśla Ewa Kurowska-Tober.
Raport DLA Piper objął 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Liechtenstein.