GDPR (w Polsce RODO) to „Ogólne rozporządzenie o ochronie danych” obowiązujące na obszarze Unii Europejskiej od 2018 r. Ma ono na celu ochronę poufnych informacji w krajach wspólnoty, na straży przestrzegania tych przepisów stoją zarówno lokalne instytucje w krajach unijnych, jak i organy działające w całej Unii.
Rekordowe kary za RODO
Z danych udostępnionych przez kancelarię prawną DLA Piper wynika, że Bruksela jest dość skuteczna w egzekwowaniu przepisów dotyczących RODO.
W 2021 r. unijne instytucje ochrony danych nałożyły na rozmaite podmioty kary w wysokości 1,25 mld dol. za naruszenie prywatności. To oznacza wzrost o ok. 180 mln dol. w porównaniu z rokiem 2020. W ub.r. liczba powiadomień o naruszeniu danych zwiększyła się o 8 proc., średnio było ich 356 każdego dnia.
Na liście najwyższych kar znajduje się Amazon (746 mln euro) oraz WhatsApp (225 mln euro). Obie firmy są w trakcie odwoływania się od tych orzeczeń.
Prawnicy zaznaczają, że większość incydentów zawiązanych z nałożonymi grzywnami wynika z dwóch powodów. Pierwszym z nich jest niedotrzymanie przez firmy terminu 72 godzin na powiadomienie odpowiednich instytucji o zagrożeniu lub wycieku danych użytkowników. Na drugim miejscu znajdują się niedopatrzenia związane z transferem informacji o klientach na linii Europa – USA.
Ross McKean, jeden z szefów DLA Piper w rozmowie ze stacją CNBC zaznacza, że obecne przepisy unijne rodzą problemy natury prawnej dotyczące ochrony danych osobowych i ich przekazywania pomiędzy Stanami Zjednoczonymi a wspólnotą europejską. Zdaniem adwokata są to kwestie, które należy pilnie rozwiązać.
Polska pod lupą regulatorów
W informacji przesłanej do Wirtualnemedia.pl DLA Piper informuje, że Polska zajmuje 13. miejsce pod względem łącznej wysokości kar nałożonych od chwili wejścia w życie przepisów RODO w 2018 r. Wartość kar nałożonych w tym czasie przez Urząd Ochrony Danych Osobowych wyniosła prawie 2,2 mln euro. W regionie Europy Środkowo-Wschodniej wyższe łączne kary nałożył jedynie regulator w Bułgarii i wyniosły one 3,2 mln euro.
Czytaj także: Śledzenia w internecie obawia się 3/4 Polaków
– W porównaniu z Luksemburgiem zajmującym pierwsze miejsce w zestawieniu, wartości kar w Polsce wydają się skromne. Należy jednak pamiętać, że polski regulator nadzoruje znacznie mniejsze podmioty niż regulatorzy w Luksemburgu czy Irlandii kontrolujący światowych gigantów, a wysokość kar jest m.in. uzależniona od obrotu – zaznacza Ewa Kurowska-Tober, partner w DLA Piper w Warszawie i współkierująca Globalnym Zespołem Ochrony Danych Osobowych, Prywatności i Cyberbezpieczeństwa w międzynarodowych strukturach kancelarii.
Kara za złamanie przepisów o ochronie danych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok.
Eksperci kancelarii zwracają uwagę, że chociaż wzrost grzywien jest znaczący, to jeszcze większym wyzwaniem dla spółek, w szczególności z branży e-commerce oraz działających online, jest transfer danych osobowych do państw spoza terytorium Europejskiego Obszaru Gospodarczego, np. USA. Konkretnie chodzi o wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”.
Wyrok nakłada na organizacje eksportujące dane osobowe obowiązek kompleksowego mapowania transferów oraz szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych.
Schrems II nie tylko zwiększa ryzyko kar i roszczeń odszkodowawczych, ale również w przypadku konieczności zawieszanie transferu danych może wiązać się z zakłóceniem w świadczeniu usług i tym samym mieć konsekwencje dla ciągłości prowadzenia działalności gospodarczej.
– Wyrok w sprawie Schrems II skutecznie przeniósł problem i ciężar fundamentalnego konfliktu prawa - z polityków i ustawodawców na indywidualnych eksporterów i importerów danych - komentuje Ewa Kurowska-Tober. - Spełnienie wymogów Schrems II jest wyzwaniem nawet dla najbardziej wyrafinowanych i dobrze wyposażonych organizacji i będzie poza zasięgiem możliwości wielu małych i średnich przedsiębiorstw. Tym, czego naprawdę potrzeba, jest rozwiązanie zasadniczego konfliktu przepisów prawa, a nie nakładanie na przedsiębiorstwa nierealistycznego obciążenia dotyczącego zgodności z przepisami i kolejnego utrudnienia dla handlu międzynarodowego w czasie wychodzenia z ogólnoświatowej pandemii.
Badanie DLA Piper objęło 27 państw członkowskich Unii Europejskiej oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
