Grant Thornton przekazał, że w 2024 r. Prezes UODO wydał 20 decyzji nakładających administracyjne kary pieniężne na 24 podmioty. Łączna wartość nałożonych kar wyniosła 13 mln 885 tys. 999,92 ł, z czego 98,7 proc. zapłaciły podmioty prywatne (ok. 13,7 mln), a resztę podmioty publiczne (185 tys.) - wskazano. Jak dodano, blisko 94 proc. całkowitej wartości kar nałożono na spółki kapitałowe.
Zgodnie z rozporządzeniem o ochronie danych osobowych, czyli RODO, ochroną danych w firmach i instytucjach zajmują się administratorzy danych. Do ich obowiązków należy m.in. zapewnienie bezpieczeństwa przetwarzania danych osobowych przez stosowanie środków technicznych i organizacyjnych; oszacowanie, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko naruszenia. Muszą oni też współpracować z organem nadzorczym, czyli UODO np. poprzez zgłaszanie naruszenia ochrony danych osobowych (o ile zachodzą do tego przesłanki), a także zawiadamianie danej osoby o naruszeniu ochrony danych osobowych (o ile zachodzą do tego przesłanki).
W ponad połowie przypadków opisywanych w raporcie Grant Thornton (55 proc.) to administrator danych osobowych w firmie poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. W części przypadków postępowanie zostało wszczęte po zgłoszeniu podmiotu trzeciego.
Jak poinformowano, 14 kar zostało nałożonych w związku umyślnym działaniem bądź zaniechaniem ze strony administratora, tj. brakiem zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych czy brakiem udzielania odpowiedzi na wezwania Prezesa UODO.
„Stanowi to ważną wskazówkę dla administratorów, żeby nie ukrywali ewentualnych incydentów w obszarze ochrony danych osobowych” - wskazali autorzy raportu. Dodali, że administratorzy powinni też mieć na względzie, że zaniechania w zakresie współpracy z organem nadzorczym, np. w przypadku braku odbioru korespondencji, również mogą wiązać się z konsekwencjami finansowymi.
Zwrócono uwagę, że wysokość kar rosła wraz ze skalą incydentu, czyli liczbą osób, których naruszenie dotyczyło. Zgodnie z raportem, łączna liczba osób, których dotyczą naruszenia powstałe w wyniku działań lub zaniechań ukaranych podmiotów, wyniosła w ub.r. ponad 2,4 mln. W jednym przypadku dosło do naruszenia danych osobowych ok. 2,2 mln osób, co w znaczący sposób wpłynęło na wysokość nałożonej administracyjnej kary pieniężnej - dodano.
Analitycy dodali, że 11 kar, jakie nałożył UODO, dotyczyło naruszeń nieumyślnych. Do tej kategorii Prezes UODO zaliczył korzystanie z zasobów informatycznych pozbawionych bieżącego wsparcia ich producentów, wynikające z niedbalstwa; niedopełnienie obowiązku zastosowania odpowiednich środków bezpieczeństwa skutkujące utartą pendrive'a czy niepodjęcie działań zmierzających do prawidłowego wdrożenia środków bezpieczeństwa, pomimo posiadanej analizy ryzyka.
„Warto pamiętać, że brak wdrożenia odpowiednich środków zabezpieczających dane osobowe, w sytuacji w której administrator był świadomy niedostateczności tych środków, jest przyczyną umyślnego naruszenia przepisów RODO” - wskazano w raporcie.
Z opracowania wynika, że w 18 przypadkach nałożone kary związane były z naruszeniem danych, takich jak numer PESEL czy seria i numer dowodu osobistego, co skutkowało surowszymi konsekwencjami finansowymi dla administratora. Dziewięć nałożonych kar dotyczyło sytuacji związanych z danymi osobowymi szczególnej kategorii, związanych głównie ze stanem zdrowia oraz światopoglądem.
Wśród zdarzeń, które prowadzą do incydentów, wymieniono: wysłanie do nieuprawnionego adresata wiadomości e-mail zawierającej niezabezpieczoną hasłem bazę danych; upublicznienie dokumentów znajdujących się w porzuconej przesyłce; zgubienie zewnętrznego nośnika danych (pendrive); udostępnienie na profilu listy uczestników; ataki łośliwego oprogramowania, w tym ransomware.
„Ważnym wnioskiem płynącym z naszego badania jest konieczność przeprowadzenia analizy ryzyka oraz wdrożenia odpowiednich środków technicznych i organizacyjnych, które skutecznie zabezpieczą przetwarzane dane osobowe” - wskazali analitycy.
Dodali, że administratorzy powinni regularnie testować, mierzyć i ocenianie skuteczności środków technicznych i organizacyjnych, a także na bieżąco aktualizować oprogramowanie wykorzystywane do przetwarzania danych osobowych. Powinni oni też wprowadzić zabezpieczenia mające na celu ochronę danych na wypadek awarii, kradzieży lub zagubienia zewnętrznego nośnika. Pracodawca powinien z kolei zadbać o szkolenia pracowników z zakresu ochrony danych osobowych.
Grant Thornton to organizacja zrzeszająca firmy świadczące usługi audytorskie i doradcze. Działa w 147 państwach, zatrudniając ponad 68 tys. pracowników. W Polsce funkcjonuje od 1993 roku i zatrudnia ponad tysiąc osób. (PAP)
mbl/ mick/