Prezes Urzędu Ochrony Danych Osobowych wydał w ubiegłym roku 20 decyzji nakładających administracyjne kary pieniężne na 24 podmioty. Łączna wartość nałożonych kar wyniosła blisko 14 mln zł, z czego najwyższa sięgnęła nieco ponad 4 mln zł, a najniższa nie przekroczyła 1 tys. zł, wynika z raportu Grant Thornton.
– Kary nałożone na podmioty prywatne stanowiły zdecydowaną większość – nałożono na nie łącznie 19 administracyjnych kar pieniężnych, czyli blisko 80 proc. wszystkich kar. Ich całkowita wartość wyniosła 13,7 mln zł, co oznacza 98,7 proc. wartości wszystkich kar. Z kolei na podmioty publiczne nałożono w tym okresie jedynie 5 administracyjnych kar pieniężnych, co stanowiło nieco ponad 20 proc. wszystkich kar o łącznej wartości 185 000 zł, czyli 1,3 proc. wartości wszystkich kar – czytamy w komunikacie poświęconym raportowi „Kto płaci za brak ochrony danych osobowych?”.
Jak podano, administracyjne kary pieniężne nałożone na przedsiębiorstwa skupiały się przede wszystkim na spółkach kapitałowych, które odpowiadały za blisko 94 proc. całkowitej wartości kar.
Skala naruszeń może być większa
Grant Thornton wskazuje jednocześnie, że łączna liczba osób, których dotyczą naruszenia powstałe w wyniku działań lub zaniechań ukaranych podmiotów, wynosi ponad 2,4 mln. Jednak w ocenie ekspertów, w rzeczywistości liczba ta może być znacznie wyższa, ponieważ część administratorów nie była w stanie dokładnie określić liczby osób dotkniętych incydentami lub informacja ta nie była wskazana w uzasadnieniu decyzji prezesa UODO.
Autorzy raportu podkreślają, że w jednym przypadku doszło do naruszenia danych osobowych ok. 2,2 mln osób, co w znaczący sposób wpłynęło na wysokość nałożonej administracyjnej kary pieniężnej (3,8 mln zł).
Administratorzy nie powinni ukrywać incydentów
– Prezes UODO zwraca szczególną uwagę na zgłoszenie organowi nadzorczemu incydentu bez zbędnej zwłoki. Pojawiły się również przypadki, gdy postępowanie zostało wszczęte z uwagi na informację od podmiotu trzeciego bez stosowanego zgłoszenia incydentu ze strony administratora – zauważa Grant Thornton.
W ocenie ekspertów stanowi to ważną wskazówkę dla administratorów, żeby nie ukrywali ewentualnych incydentów w obszarze ochrony danych osobowych. Administratorzy powinni także natychmiast podjąć niezbędne działania mające na celu ocenę powstałego zdarzenia oraz dokonać zgłoszenia do organu nadzorczego zgodnie z przepisami RODO.
– Administratorzy powinni mieć na względzie, że zaniechania w zakresie współpracy z organem nadzorczym (np. w przypadku braku odbioru korespondencji) również mogą wiązać się z konsekwencjami finansowymi – podsumowują autorzy raportu.
Polecamy też:
- Ryanair pod lupą UODO. Urząd sprawdza, czy dane pasażerów linii są bezpieczne
- Urząd Ochrony Danych Osobowych ostrzega przed DeepSeek
- Nawet giganci są okradani, jeśli nie zadbają o cyberbezpieczeństwo
- Wyciekły dane medyczne kilkudziesięciu tysięcy Polaków. Atak na sieci ALAB laboratoria
