Rosną kary nakładane z tytułu naruszeń RODO. W 2020 r. organy ochrony danych państw członkowskich UE zdecydowały o nałożeniu kar w łącznej wysokości 159 mln euro. W Polsce Urząd Ochrony Danych Osobowych zdecydował o karach na łączną kwotę 1,7 mln euro.

Grzywny w wysokości 159 mln euro to wzrost o 40 proc. względem pierwszych 20 miesięcy obowiązywania przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych, które wdrożono w maju 2018 r. - wynika z cytowanego przez dziennik "Financial Times" badania zleconego przez spółkę DLA Piper.

Przedstawicielka firmy ds. ochrony danych osobowych i bezpieczeństwa Ewa Kurowska-Tober w rozmowie z dziennikiem oceniła, że wynika to z faktu, iż regulatorzy krajowi w ubiegłym roku w pewien sposób testowali ograniczenia dla uprawnień, którymi dysponują i zdecydowali się korzystać z możliwości karania całego szeregu naruszeń restrykcyjnego prawa, jakim jest RODO.

Największą karą grzywny z tytułu naruszeń przepisów Rozporządzenia pozostaje nałożona w 2019 r. na koncern Google grzywna w wysokości 50 mln euro. Orzekł o niej francuski organ ochrony danych osobowych CNIL, który uzasadnił swoją decyzję faktem, iż Google nie zachowało należytej przejrzystości w kwestii tego, jak wykorzystywane są dane użytkowników oraz używało ich do personalizacji reklam nie dysponując przy tym odpowiednią podstawą prawną.

Polski organ - Urząd Ochrony Danych Osobowych - w minionym roku orzekł o karach grzywny na łączną kwotę 1,7 mln euro.

Oprócz sektora internetowego kary z tytułu naruszeń RODO najczęściej według dziennika orzekane były w segmencie handlu detalicznego, usług turystycznych i telekomunikacyjnych, a także w branży energetycznej.

Organy w Niemczech i Niderlandach otrzymały w ubiegłym roku najwięcej notyfikacji od firm dotyczących wycieków danych (firmy w myśl RODO mają obowiązek informować o takim zdarzeniu krajowy organ - PAP). Jednocześnie, jak zauważa dziennik, liczba wycieków danych w 2019 r. wzrosła w stosunku do ubiegłego roku o niemal 20 proc.

Nie wszystkie nałożone kary są ostateczne. W ubiegłym miesiącu krajowy operator pocztowy w Austrii odwołał się od grzywny w wysokości 18 mln euro nałożonej przez lokalny organ ochrony danych osobowych i wygrał sprawę w federalnym sądzie administracyjnym. Jak powiedział PAP konsultant ds. ochrony danych osobowych Tomasz Borys, decyzja austriackiego organu ochrony danych osobowych nie zawierała wskazania konkretnej osoby, która w przypadku operatora pocztowego dopuściła się naruszenia prawa. Sąd uznał zatem, że decyzja organu jest niezgodna z ustawą o wykroczeniach obowiązującą w Austrii i uchylił orzeczenie.

Kary za naruszenie RODO mogą również zostać zmniejszone - tak jak to miało miejsce w przypadku linii lotniczych British Airways, które początkowo miały zapłacić grzywnę w wysokości 183 mln funtów, jednak ostateczna wysokość kary wyniosła zaledwie 20 mln funtów - i wciąż plasuje się na czwartym miejscu w globalnym rankingu najwyższych kar z tytułu naruszeń RODO.

Zdaniem Borysa niektóre organy - tak jak regulator hiszpański - obecnie starają się wykazać, iż naruszenia RODO są faktycznie karane. "Tam niemal codziennie pojawia się informacja o grzywnie. Dominują jednak mniejsze kwoty, nie chodzi tu zatem o festiwal wysokości grzywny" - ocenia specjalista i dodaje, że niska wysokość kar jest również domeną organów ochrony danych osobowych w takich krajach jak Rumunia czy Węgry, gdzie ostatnio orzeczono o grzywnie za naruszenie RODO w wysokości 28 euro.