O niemal miliard euro wzrosły kary za naruszenie RODO w Europie. Raport DLA Piper

0
2

Do takiego rekordowego wyniku przyczyniła się znacząco sprawa z Luksemburga. Organ wymierzył tam karę w wysokości… 746 mln euro. Dużą karę nałożył także organ w Irlandii – 225 mln euro. W obu sprawach toczą się obecnie postępowania odwoławcze. Trzecia najwyższa w historii kara za naruszenie przepisów RODO została nałożona we Francji i wyniosła 50 mln euro.

Polska zajmuje 13. miejsce pod względem łącznej wysokości kar nałożonych od chwili wejścia w życie przepisów RODO w 2018 roku. Wartość kar nałożonych w tym czasie przez Urząd Ochrony Danych Osobowych wyniosła prawie 2,2 mln euro. W regionie Europy Środkowo-Wschodniej wyższe łączne kary nałożył jedynie regulator w Bułgarii i wyniosły one 3,2 mln euro.

– W porównaniu z Luksemburgiem zajmującym pierwsze miejsce w zestawieniu, wartości kar w Polsce wydają się skromne. Należy jednak pamiętać, że polski regulator nadzoruje znacznie mniejsze podmioty niż regulatorzy w Luksemburgu czy Irlandii kontrolujący światowych gigantów, a wysokość kar jest m.in. uzależniona od obrotu – mówi Ewa Kurowska-Tober, partner DLA Piper w Warszawie i współkierująca Globalnym Zespołem Ochrony Danych Osobowych, Prywatności i Cyberbezpieczeństwa w międzynarodowych strukturach kancelarii.

Kara za złamanie przepisów o ochronie danych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok. 

Eksperci DLA Piper zwracają uwagę, że chociaż wzrost grzywien jest znaczący, to jeszcze większym wyzwaniem dla spółek, w szczególności z branży e-commerce oraz działających online, jest transfer danych osobowych do państw spoza terytorium Europejskiego Obszaru Gospodarczego, np. USA. Chodzi o wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”. 

Wyrok nakłada na organizacje eksportujące dane osobowe obowiązek kompleksowego mapowania transferów oraz szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych. Schrems II nie tylko zwiększa ryzyko kar i roszczeń odszkodowawczych, ale również w przypadku konieczności zawieszanie transferu danych może wiązać się z zakłóceniem w świadczeniu usług i tym samym mieć konsekwencje dla ciągłości prowadzenia działalności gospodarczej, uważają eksperci DLA Piper.

– Wyrok w sprawie Schrems II skutecznie przeniósł problem i ciężar fundamentalnego konfliktu prawa – z polityków i ustawodawców na indywidualnych eksporterów i importerów danych. Spełnienie wymogów Schrems II jest wyzwaniem nawet dla najbardziej wyrafinowanych i dobrze wyposażonych organizacji i będzie poza zasięgiem możliwości wielu małych i średnich przedsiębiorstw. Tym, czego naprawdę potrzeba, jest rozwiązanie zasadniczego konfliktu przepisów prawa, a nie nakładanie na przedsiębiorstwa nierealistycznego obciążenia dotyczącego zgodności z przepisami i kolejnego utrudnienia dla handlu międzynarodowego w czasie wychodzenia z ogólnoświatowej pandemii – komentuje Ewa Kurowska-Tober.

Badanie DLA Piper objęło 27 państw członkowskich Unii Europejskiej oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.

Raport DLA Piper GDPR Fines and Data Breach Survey dostępny jest tutaj.

Artykuł powstał we współpracy z kancelarią DLA Piper.