Morele, mBank, Santander – za co dostali po kieszeni? Największe wtopy RODO

Od momentu wejścia w życie RODO w 2018 roku minęło siedem lat. To – pierwotnie traktowane z rezerwą – rozporządzenie dziś ma realne przełożenie na funkcjonowanie przedsiębiorstw w Polsce. O ile w pierwszych latach firmy ograniczały się do wdrożenia ogólnych polityk prywatności, o tyle lata 2022–2024 pokazały, że wielu biznesmenów wciąż bagatelizuje tę sprawę, a w konsekwencji musi mierzyć się w milionowymi karmi za brak faktycznej zgodności z przepisami.

Z danych wynika jasno: polscy przedsiębiorcy wciąż nie doceniają wagi ochrony danych osobowych, nie wiedzą, jak reagować na incydenty, a odpowiedzialność za dane cedują na zewnętrzne podmioty bez właściwych umów. Większość naruszeń wynika nie z ataków hakerskich, lecz z wewnętrznych błędów organizacyjnych. Jakie kary Urząd Ochrony Danych Osobowych nakładał w ostatnich trzech latach? Jakie błędy najczęściej popełniają firmy? I co należy zrobić, by nie znaleźć się w gronie ukaranych? O tym przeczytacie poniżej.

RODO – ramy prawne i obowiązki przedsiębiorców

Rozporządzenie o ochronie danych osobowych (RODO), oficjalnie nazwane Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679, obowiązuje we wszystkich państwach członkowskich Unii Europejskiej od 25 maja 2018 roku. Zastąpiło ono wcześniejszą dyrektywę 95/46/WE i miało na celu ujednolicenie zasad przetwarzania danych osobowych w całej Unii.

RODO nie dotyczy wyłącznie wielkich korporacji, jak często się uważa, ale także małych firm, jednoosobowych działalności gospodarczych, organizacji non-profit, a nawet instytucji publicznych. Przedsiębiorca przetwarzający dane klientów, pracowników czy odbiorców newsletterów musi przestrzegać szeregu zasad: legalności, przejrzystości, minimalizacji poboru danych, ograniczenia celu i zabezpieczenia danych.

Jak czytamy w dokumencie:

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa

Rekordowe kary za naruszenia RODO w Polsce w latach 2022–2024

Ostatnie trzy lata przyniosły największy wzrost kar za naruszenia RODO w historii ich stosowania w Polsce. Prezes UODO – organ nadzorczy odpowiedzialny za egzekwowanie przepisów – wydał w 2024 roku 19 decyzji o karach wobec 23 podmiotów. Wartość kar wyniosła łącznie 13 309 897,80 zł, z czego część przypadła na sektor prywatny.

Zanim przejdziemy do przykładów, warto zaznaczyć, że kary dotyczyły zarówno poważnych incydentów bezpieczeństwa, jak i pozornie drobnych zaniedbań w obowiązkach informacyjnych lub braku odpowiednich umów powierzenia przetwarzania danych.

Kary dotyczyły m.in.:

• upublicznienia danych w przesyłkach pozostawionych bez zabezpieczenia,
• wysyłki maili z załączonymi bazami danych bez hasła,
• przypadków ransomware i innych ataków złośliwego oprogramowania,
• udostępnienia list uczestników wydarzeń na profilach społecznościowych.

Najgłośniejsze przypadki z 2024 roku to:

• 4 053 173,00 PLN– na mBank Spółka Akcyjna nałożono rekoredową grzywną po tym jak pracownik firmy przetwarzającej dane osobowe na zlecenie banku omyłkowo przesłał dokumenty klientów do innej instytucji finansowej.
• 1 440 549,00 PLN – American Heart of Poland S.A. zapłaciła za uzyskanie przez przestępczą grupę hackerską o nazwie „A.” nieuprawnionego dostępu do zasobów informatycznych spółki za pomocą oprogramowania ransomware.
• 1 440 549,00 PLN– decyzja wobec banku Santander za upublicznienia dokumentów bankowych znajdujących się w porzuconej przesyłce.
• 3 819 960,00 PLN– głośna kara z 2022 r. (2,8 mln zł) wobec Morele.net za wyciek danych ponad 2,2 mln użytkowników po ponownym rozpatrzeniu została podwyższona o kolejny milion.

---

---

Najczęstsze błędy i naruszenia RODO

Choć przepisy RODO obowiązują od 2018 roku, wielu przedsiębiorców wciąż popełnia te same, podstawowe błędy. Z danych opublikowanych przez serwis ODO24, firmę Audytel oraz portal M3Mcom wynika, że większość naruszeń nie wynika z ataków hakerskich, lecz z niedbałości i braku procedur wewnętrznych.

Oto najczęściej występujące uchybienia, na które narażone są polskie firmy:

• Brak szyfrowania danych – przedsiębiorcy wciąż przesyłają e-maile zawierające dane osobowe (np. umowy, CV) bez zabezpieczeń lub z niezaszyfrowanymi załącznikami.
• Niewdrożenie polityk bezpieczeństwa – brak sformalizowanych procedur wewnętrznych sprawia, że pracownicy nie wiedzą, jak przetwarzać dane zgodnie z prawem.
• Udostępnianie danych nieuprawnionym osobom – dane klientów trafiają do działów, które nie mają podstaw do ich przetwarzania (np. marketing otrzymuje dane HR).
• Nieprawidłowe zgłaszanie naruszeń – wiele firm nie zgłasza incydentów do UODO w ciągu 72 godzin, mimo że ten obowiązek wynika wprost z art. 33 RODO.
• Brak rejestru naruszeń – zgodnie z RODO każdy administrator ma obowiązek prowadzenia ewidencji naruszeń, nawet jeśli nie zostały one zgłoszone organowi nadzorczemu.
• Brak umów powierzenia danych – wielu przedsiębiorców zleca działania podmiotom trzecim (np. firmom IT, agencjom HR), nie podpisując wymaganych umów powierzenia danych.

Jak unikać naruszeń RODO jako przedsiębiorca?

Przestrzeganie przepisów RODO to obowiązek prawny i składowa zaufania klientów i partnerów biznesowych. Naruszenia ochrony danych osobowych mogą skutkować nie tylko wysokimi karami finansowymi, ale również utratą reputacji, co w dłuższej perspektywie może być bardziej dotkliwe niż sama grzywna – aby uniknąć problemów, przedsiębiorcy powinni wdrożyć konkretne działania, które minimalizują ryzyko naruszeń.

Wdrożenie polityki ochrony danych osobowych

Każda firma przetwarzająca dane osobowe powinna opracować i wdrożyć wewnętrzne regulacje dotyczące ochrony danych. Powinny one jasno określać, w jaki sposób dane są gromadzone, przetwarzane, zabezpieczane i usuwane.

Każdy przedsiębiorca powinien rozważyć:

• Opracowanie kompleksowej polityki ochrony danych, uwzględniającej obowiązki administratora i prawa osób, których dane dotyczą.
• Wprowadzenie rejestru czynności przetwarzania danych, który pozwala na bieżąco monitorować zakres i cel ich wykorzystania.
• Regularna aktualizacja polityki w oparciu o zmieniające się przepisy oraz wytyczne Urzędu Ochrony Danych Osobowych (UODO).
• Określenie wewnętrznych procedur dotyczących postępowania w przypadku naruszeń danych.

Szkolenie pracowników

Niezależnie od wielkości przedsiębiorstwa, każdy pracownik mający dostęp do danych osobowych powinien przejść szkolenie z zakresu ochrony danych.

Konieczne jest:

• Organizowanie obowiązkowych szkoleń dla nowych pracowników oraz całego zespołu.
• Egzekwowanie zasad bezpieczeństwa, takich jak konieczność stosowania silnych haseł czy unikanie przesyłania danych w niezabezpieczonych wiadomościach e-mail.
• Wprowadzenie testów wiedzy wśród pracowników, aby upewnić się, że rozumieją podstawowe zasady RODO.

Minimalizacja przetwarzania danych osobowych

Ograniczenie przetwarzania danych obejmuje:

• Przechowywanie i wykorzystywanie wyłącznie tych danych, które są rzeczywiście potrzebne do realizacji usług lub prowadzenia działalności.
• Regularna weryfikacja baz danych oraz usuwanie informacji, które nie są już konieczne.
• Wprowadzanie mechanizmów anonimizacji lub pseudonimizacji danych, zwłaszcza jeśli są one wykorzystywane do analiz statystycznych lub celów marketingowych.

Wzmocnienie zabezpieczeń technicznych

Niedostateczne zabezpieczenia są jedną z najczęstszych przyczyn kar nakładanych przez UODO, dlatego warto wprowadzić następujące mechanizmy ochrony:

• Szyfrowanie baz danych, wiadomości e-mail i nośników z danymi osobowymi.
• Wprowadzenie systemów wielopoziomowej autoryzacji dostępu (np. uwierzytelnianie dwuskładnikowe).
• Regularne testy penetracyjne oraz audyty bezpieczeństwa IT.
• Automatyczne blokowanie dostępu do systemów po określonym czasie bezczynności użytkownika.

Kontrola dostępu do danych

Wolny dostęp do informacji stanowi jedno z największych zagrożeń dla bezpieczeństwa danych osobowych, dlatego najlepiej rozważyć:

• Ograniczenie liczby osób mających dostęp do baz danych tylko do tych, którzy rzeczywiście go potrzebują.
• Wprowadzenie mechanizmów rejestrowania logowań oraz aktywności użytkowników w systemach informatycznych.
• Blokowanie dostępu do danych osobowych po odejściu pracownika z firmy lub zmianie jego stanowiska.

Procedury zgłaszania naruszeń

Zgodnie z przepisami RODO, każda organizacja ma obowiązek zgłosić naruszenie ochrony danych do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego wykrycia, aby go dopełnić niezbędne jest:

• Opracowanie wewnętrznych procedur postępowania w przypadku naruszeń, obejmujących identyfikację, ocenę ryzyka i działania naprawcze.
• Wyznaczenie zespołu odpowiedzialnego za analizę incydentów oraz podejmowanie decyzji o konieczności zgłoszenia naruszenia do UODO.

Weryfikacja podmiotów przetwarzających dane

Firmy często powierzają przetwarzanie danych zewnętrznym podmiotom, np. dostawcom usług IT, biurom rachunkowym czy firmom marketingowym. Nie zwalnia to jednak administratora danych z odpowiedzialności za ich bezpieczeństwo. Dlatego taka osoba powinna zadbać o:

• Przeprowadzanie audytów dostawców i podmiotów przetwarzających dane, aby upewnić się, że spełniają wymagania RODO.
• Zawieranie umów powierzenia przetwarzania danych, jasno określających obowiązki i odpowiedzialność obu stron.
• Regularne monitorowanie działań podmiotów przetwarzających, np. poprzez okresowe kontrole i analizę raportów zgodności.

Regularne audyty i dostosowywanie procedur

Środowisko prawne i technologiczne stale się zmienia, dlatego firmy powinny regularnie sprawdzać swoją zgodność z przepisami i dostosowywać polityki ochrony danych do aktualnych wymogów, aby dopełnić tego obowiązku niezbędne jest:

• Przeprowadzanie wewnętrznych i zewnętrznych audytów RODO co najmniej raz do roku.
• Weryfikacja nowych regulacji prawnych i wytycznych UODO, aby firma była na bieżąco ze zmieniającymi się przepisami.
• Testowanie procedur reagowania na incydenty oraz organizowanie symulacji cyberataków w celu sprawdzenia skuteczności zabezpieczeń.

Nie tylko finanse, ale i reputacja

RODO nie jest chwilowym trendem ani prawną fanaberią – to obowiązujący, ściśle egzekwowany system regulacji, który dotyczy każdego przedsiębiorcy mającego kontakt z danymi osobowymi. Fakty są jednoznaczne: od 2022 do 2024 roku liczba decyzji o ukaraniu firm utrzymuje się na stabilnym poziomie, ale wysokość kar rośnie. Urząd Ochrony Danych Osobowych nie waha się sięgać po najwyższe możliwe grzywny, zwłaszcza gdy naruszenie jest rażące lub celowe.

Firmy, które wciąż traktują ochronę danych jako zbędny koszt lub formalność, podejmują ogromne ryzyko – nie tylko finansowe, ale także reputacyjne. Tymczasem zgodność z RODO można osiągnąć, inwestując w edukację, porządek organizacyjny i technologie zabezpieczające dane. To nie koszt, lecz inwestycja w przyszłość firmy, bo nie chodzi o pytanie „czy” dojdzie do naruszenia danych, ale „czy będziesz na to gotowy”.

Zainteresował Cię ten artykuł? Czytaj więcej takich treści w ramach cyklu „Poradnik przedsiębiorcy”