Według analizy firmy Sprint, suma kar nałożonych przez Urząd Ochrony Danych Osobowych na podstawie przepisów RODO, przekroczyła już 2 mln euro. Od 25 maja 2018 r. do końca 2020 r. do UODO zgłoszono ponad 20 tys. skarg. Jak podkreślono, w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.

 

Zgodnie z analizą firmy:

• 35% wszystkich kar nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. „Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy" - przekazała ekspertka ds. cyberbezpieczeństwa w firmie Sprint Patrycja Tatara;
• 8% wszystkich kar nałożonych zostało za niepoinformowanie UODO o zdarzeniu, a jak wiadomo od 2018 r. jeżeli w wyniku przeprowadzonej analizy incydentu okaże się, że istnieje prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator obowiązany jest do powiadomienia organu nadzorczego. 
  Z ryzykiem tym mamy do czynienia, kiedy naruszenie może wywołać szkodę fizyczną, materialną lub niematerialną dla osób fizycznych, których naruszenie dotyczy. Do szkód takich można zaliczyć m.in.: dyskryminację, stratę finansową, kradzież tożsamości, utratę poufności danych chronionych tajemnicą zawodową czy też inne poważne skutki społecznej lub gospodarcze dla konkretnej osoby fizycznej. 
  Jeżeli naruszenie dotyczy danych osobowych zaliczanych do szczególnych kategorii (tj. dane ujawniające: pochodzenie etniczne lub rasowe, poglądy polityczne, przynależność do związków zawodowych) należy uznać, że występuje wysokie prawdopodobieństwo wystąpienia wspomnianej szkody.
  Zgłoszenia naruszenia dokonuje się elektronicznie lub tradycyjną pocztą, wypełniając formularz dostępny na stronie internetowej Urzędu  https://uodo.gov.pl/pl/134/233. 

Z jakimi naruszeniami mamy najczęściej do czynienia?
Z analizy firmy Sprint wynika, że często dochodzi do:

• przypadkowego upublicznienia danych - "Nie chodzi o świadome zamieszczenie informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe, ale o o zdarzenia nieumyślne. Powołując się na rodzimy przykład - w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro" - wskazuje firma; 
• ataków na strony www i aplikacje webowe. Jak wskazano w analizie, w Polsce jeszcze nie doszło do takiego zdarzenia. Podano natomiast przykład linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych sięgnęła 500 tys., a kara - 20 mln euro;
• ataków na firmowe serwery i bazy danych.

Nadal zdarzają się też "fizyczne" zdarzenia prowadzące do wycieku danych, jak kradzież komputera z danymi (zdarzenie, z którym zmierzyć musiała się Szkoła Główna Gospodarstwa Wiejskiego w  Warszawie https://uodo.gov.pl/pl/138/1711) czy zgubienie przenośnej pamięci USB (co zdarzyło się pracownikowi Sądu Rejonowego w Zgierzu https://uodo.gov.pl/pl/138/2130).

Nina Zacharska
Kancelaria Wyrzykowscy
 

Zobacz także

• Opodatkowanie VAT nabywanych przez JST usług szkoleń - a możliwość odliczenia podatku VAT.
• Budynek do rozbiórki a ustalenie stawki VAT dla sprzedawanej nieruchomości.
• Dzierżawa gruntu na rzecz konsumenta - jak powstaje obowiązek podatkowy?
• Ogłoszono nowe informacje w sprawie KSeF!
• Jak sprawdzić status polskiego kontrahenta w VAT?
• Czy wycofanie samochodu osobowego z działalności gospodarczej zawsze jest objęte VAT?
• Moment powstania obowiązku podatkowego u sprzedawcy – jakie znaczenie ma on dla nabywcy towaru/usługi.
• Nota korygująca wystawiona do faktury w KSEF
• Jak będziemy identyfikować faktury konsumenckie, które będą wyłączone z obowiązkowego KSEF?
• Moment powstania obowiązku podatkowego dla dostawy energii elektrycznej i najmu w świetle interpretacji Dyrektora KIS.