Z raportu międzynarodowej kancelarii prawnej DLA Piper wynika, że europejskie organy regulacyjne nałożyły w 2021 roku niemal 1,1 mld euro kar z tytułu naruszeń Rozporządzenia o Ochronie Danych (RODO). To niemal siedmiokrotny wzrost w porównaniu z kwotą z poprzedniego roku, tj. 158,2 mln euro. Polska plasuje się na trzynastym miejscu w Europie pod względem łącznej wysokości kar nałożonych od chwili wejścia w życie RODO.
Rekordowa kara w wysokości 746 mln euro została nałożona w ubiegłym roku w Luksemburgu. Drugą pod względem wielkości sankcję – 225 mln euro – nałożył organ regulacyjny w Irlandii. W obu przypadkach toczą się obecnie postępowania odwoławcze. Trzecia najwyższa w historii kara za naruszenie przepisów RODO została nałożona we Francji i wyniosła 50 mln euro.
Polska zajmuje 13. miejsce pod względem łącznej wysokości kar od chwili wejścia w życie przepisów RODO w 2018 roku. Urząd Ochrony Danych Osobowych ukarał podmioty na sumę wynoszącą prawie 2,2 mln euro. W regionie Europy Środkowo-Wschodniej wyższą kwotę miał na swoim koncie jedynie regulator w Bułgarii – 3,2 mln euro.
– W porównaniu z Luksemburgiem zajmującym pierwsze miejsce w zestawieniu wartości kar w Polsce wydają się skromne. Należy jednak pamiętać, że polski regulator nadzoruje znacznie mniejsze podmioty niż regulatorzy w Luksemburgu czy Irlandii kontrolujący światowych gigantów, a wysokość kar jest m.in. uzależniona od obrotu – mówi Ewa Kurowska-Tober, partner DLA Piper w Warszawie i współkierująca Globalnym Zespołem Ochrony Danych Osobowych, Prywatności i Cyberbezpieczeństwa w międzynarodowych strukturach kancelarii.
Kara za złamanie przepisów o ochronie danych może wynieść nawet 4% całkowitego rocznego obrotu firmy za poprzedni rok.
Eksperci kancelarii zwracają uwagę, że chociaż wzrost grzywien jest znaczący, to jeszcze większym wyzwaniem dla spółek, w szczególności z branży e-commerce oraz działających online, jest transfer danych osobowych do państw spoza terytorium Europejskiego Obszaru Gospodarczego, np. USA. Konkretnie chodzi o wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”.
Wyrok nakłada na organizacje eksportujące dane osobowe obowiązek kompleksowego mapowania transferów oraz szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych. Eksperci DLA Piper uważają, że Schrems II nie tylko zwiększa ryzyko kar i roszczeń odszkodowawczych, ale również w przypadku konieczności zawieszanie transferu danych może wiązać się z zakłóceniem w świadczeniu usług i tym samym mieć konsekwencje dla ciągłości prowadzenia działalności gospodarczej.
– Wyrok w sprawie Schrems II skutecznie przeniósł problem i ciężar fundamentalnego konfliktu prawa – z polityków i ustawodawców na indywidualnych eksporterów i importerów danych. Spełnienie wymogów Schrems II jest wyzwaniem nawet dla najbardziej wyrafinowanych i dobrze wyposażonych organizacji i będzie poza zasięgiem możliwości wielu małych i średnich przedsiębiorstw. Tym, czego naprawdę potrzeba, jest rozwiązanie zasadniczego konfliktu przepisów prawa, a nie nakładanie na przedsiębiorstwa nierealistycznego obciążenia dotyczącego zgodności z przepisami i kolejnego utrudnienia dla handlu międzynarodowego w czasie wychodzenia z ogólnoświatowej pandemii – komentuje Ewa Kurowska-Tober.
O badaniu:
Badanie DLA Piper objęło 27 państw członkowskich Unii Europejskiej oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
AM, news@gu.com.pl
(źródło: DLA Piper)