Polski Urząd Ochrony Danych Osobowych (UODO) zanotował największy spadek finansowania w porównaniu do wszystkich instytucji tego typu w innych krajach Unii Europejskiej, mimo że wprowadzenie RODO bardzo zwiększyło zakres jego obowiązków. Dziś zaprzysiężony zostanie nowy prezes urzędu.
Takie dane przedstawiła Europejska Rada Ochrony Danych (European Data Protection Board – EDPB) w swoim pierwszym (i jak dotąd jedynym) raporcie dotyczącym implementacji Rozporządzenia o Ochronie Danych Osobowych (RODO) w krajach Unii Europejskiej.
Raport, do którego dotarli dziennikarze 300Gospodarki, został opublikowany na przełomie lutego i marca tego roku, ale nie został wcześniej zauważony przez media.
Polska oszczędza na ochronie danych najwięcej
Z opracowania EDPB wynika, że Urząd Ochrony Danych Osobowych (dawniej funkcjonujący jako GIODO) zgłaszał potrzebę zwiększenia finansowania. Miało to związek z poszerzeniem zakresu jego obowiązków spowodowanych wprowadzeniem RODO.
Polska instytucja zgłosiła, że potrzebuje aż o 53 proc. wyższego budżetu do sprawnego wykonywania swoich obowiązków.
Jednak z raportu wynika, że w 2019 roku budżet polskiego UODO, zamiast wzrosnąć, spadł aż o 15 proc. w stosunku do 2018 roku. Co więcej, było to zdecydowanie największe cięcie wśród wszystkich krajów Unii.
Zapytaliśmy urząd o komentarz w tej sprawie. Rzeczniczka UODO Agnieszka Świątek-Druś poinformowała nas, że budżet UODO został zmniejszony decyzją Sejmu, ponieważ to Sejm powołuje tę instytucję. Cięcia nastąpiły w budżecie na inwestycje i wydatki bieżące.
Mimo niedostatecznych środków pieniężnych w polskim urzędzie teoretycznie wzrosło zatrudnienie – UODO w 2019 roku zatrudnia o 5 proc. więcej pracowników niż w roku poprzednim. Jednak jak powiedziało rzeczniczka UODO 300Gospodarce, cięcia budżetu nie dotyczyły wydatków na wynagrodzenia pracowników, a różnica w ich liczbie między rokiem 2018 a 2019 wynika ze zwykłej rotacji pracowników i sukcesywnego uzupełniania wolnych etatów, a nie z tworzenia dodatkowych miejsc pracy.
Jednym krajem oprócz Polski, gdzie instytucja odpowiedzialna za ochronę danych osobowych – w tym także za kontrolę przestrzegania RODO – musiała pogodzić się z obcięciem środków, były Czechy. Tam jednak zanotowano spadek jedynie sześcioprocentowy.
Czechy są też jedynym krajem ujętym w badaniu, który zdecydował się na redukcję pracowników w instytucji ochrony danych (o 5 proc.).
Budżety podobnych instytucji w Austrii, Belgii i na Łotwie pozostały na tym samym poziomie, co w 2018 roku, można to jednak wytłumaczyć dwuletnim okresem finansowania. W pozostałych państwach nakłady na ochronę danych osobowych rosły. Największy wzrost odnotowano w Niemczech – budżet jest tam większy aż o 28 proc. rok do roku.
W kwestii potrzeby zwiększenia środków na bieżące działanie polski urząd nie jest osamotniony. Zwraca na to uwagę sama Europejska Rada Ochrony Danych w swoim raporcie.
„Obowiązki wynikające z utrzymywania mechanizmów [współpracy i spójności w ramach egzekwowania RODO] oznaczają dla każdej z krajowych instytucji-członków EDPB dodatkowy nakład pracy i zmuszają do poświęcenia większej ilości czasu na rozwiązywanie poszczególnych spraw, co nie pozostaje bez wpływu na obciążenia budżetowe. Czas regulatorów krajowych pochłaniają bowiem nie tylko same drobiazgowe, międzynarodowe śledztwa, ale także lokalne procedury związane z ich przeprowadzaniem,” napisała instytucja.
Na zbyt niskie finansowanie narzekają również krajowe instytucje ochrony danych osobowych w aż 17 krajach unijnych.
Najgorsza sytuacja jest na Łotwie, gdzie potrzeba aż o 257 proc. więcej środków niż jest dostępnych w tej chwili. Dziura budżetowa przekracza 100 proc. także w Grecji (100 proc.) i Chorwacji (127 proc.).
Drakońskie kary i coraz więcej spraw
Raport EDPB wskazuje, że do końca lutego 2019 roku w 11 krajach Europejskiego Obszaru Gospodarczego (UE, oraz Norwegia, Islandia i Liechtenstein), które były zobowiązane do implementacji RODO, suma kar nałożonych na podmioty nieprzestrzegające regulacji w pierwszych dziewięciu miesiącach jej działania wyniosła niespełna 56 mln euro.
Zdecydowana większość z tej sumy to kara 50 mln euro nałożona w styczniu 2019 we Francji na amerykańskiego giganta informatycznego Google za brak transparentności, przekazywanie niedostatecznej ilości informacji i brak przejrzystości w systemie wyrażania zgody na personalizację reklam.
W Polsce jak dotąd największą (i pierwszą) karę wymierzono pod koniec marca 2019, a więc nie jest ujęta w kwocie przedstawionej w raporcie.
UODO ukarało wówczas niezidentyfikowaną z nazwy firmę kwotą niemal 1 mln złotych za niedopełnienie obowiązku informacyjnego wobec osób, których dane przetwarzała.
Przepisy RODO umożliwiają przeznaczonym do tego instytucjom państwowym nakładanie kar za nieprzestrzeganie regulacji o ochronie danych nawet do 20 mln euro lub 4 proc. rocznego obrotu karanego podmiotu.
Zgodnie z opracowaniem EDPB do końca lutego 2019 roku w 31 państwach EOG instytucje ochrony danych osobowych musiały rozpatrzeć w sumie ponad 205 tys. spraw związanych z naruszeniem przepisów o ochronie danych osobowych.
W tym miesiącu mija rok od wprowadzenia rozporządzenia w życie.
Dziś z kolei na posiedzeniu Sejmu ma w końcu dojść do złożenia ślubowania przez nowego prezesa UODO Jan Nowak. Został on powołany przez Sejm na to stanowisko 4 kwietnia, a zaakceptowany przez Senat 12 kwietnia tego roku. Do tej pory obowiązki wciąż pełniła jednak poprzednia prezes Edyta Bielak-Jomaa.