W 2024 roku europejskie organy ochrony danych osobowych nałożyły łącznie 1,2 mld euro kar, jak wynika z raportu kancelarii prawnej DLA Piper „GDPR Fines and Data Breach Survey”. Choć wartość ta stanowi spadek o 1/3 w porównaniu z 2023 rokiem, eksperci podkreślają, że nie oznacza to zmiany w restrykcyjnym podejściu regulatorów do egzekwowania przepisów.
Od maja 2018 roku, czyli od wejścia w życie przepisów RODO, łączna wartość kar wyniosła 5,88 mld euro. Wiodącym krajem pod względem egzekwowania przepisów pozostaje Irlandia, która nałożyła 3,5 mld euro kar, co stanowi ponad czterokrotność kwoty nałożone przez drugi w rankingu Luksemburg. Najwyższe kary dotyczą przede wszystkim firm z sektora technologii i mediów społecznościowych, przy czym dziewięć z dziesięciu najwyższych kar w historii trafiło do spółek z tego sektora.
Największe kary RODO w 2024 roku
Najwyższą karę w 2024 roku nałożył irlandzki regulator ochrony danych na LinkedIn w wysokości 310 mln euro za naruszenia związane z legalnością, rzetelnością i przejrzystością przetwarzania danych. Meta, właściciel Facebooka i Instagrama, otrzymała kolejną karę w wysokości 251 mln euro. Holenderski organ ochrony danych ukarał znaną spółkę przewozową na 290 mln euro za nielegalne transfery danych osobowych poza Unię Europejską.
Nie tylko sektor technologiczny przyciągał uwagę regulatorów. Hiszpański organ ochrony danych nałożył dwie kary o łącznej wartości 6,2 mln euro na jeden z większych banków za niewystarczające środki bezpieczeństwa, a we Włoszech dostawca energii otrzymał karę w wysokości 5 mln euro za wykorzystywanie nieaktualnych danych klientów. W Polsce prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary na podmioty z sektora finansowego, w tym karę w wysokości ponad 4 mln zł na jeden z największych polskich banków za niezawiadomienie poszkodowanych o naruszeniu danych.
Wzrost liczby zgłoszeń naruszeń danych
W 2024 roku wzrosła liczba zgłoszeń naruszeń ochrony danych osobowych, osiągając średnią 363 zgłoszeń dziennie w porównaniu z 335 w poprzednim roku. Tradycyjnie liderami pod względem liczby zgłoszeń są Holandia (33 471), Niemcy (27 829) i Polska (14 286).
„Wzrost liczby zgłoszeń wskazuje na coraz większą skrupulatność firm w raportowaniu naruszeń, co wynika z obawy przed konsekwencjami prawnymi i finansowymi” – komentuje Piotr Czulak, senior associate w zespole IPT DLA Piper w Polsce.
Nowe trendy w egzekwowaniu przepisów RODO
Eksperci DLA Piper zwracają uwagę na rosnące zainteresowanie regulatorów odpowiedzialnością osobistą menedżerów za naruszenia RODO. Holenderski organ ochrony danych wszczął postępowanie wobec członków zarządu firmy Clearview AI, która wcześniej otrzymała karę w wysokości 30,5 mln euro za nielegalne przetwarzanie danych biometrycznych.
„To precedens, który może zwiększyć presję na menedżerów, by bardziej świadomie podchodzili do kwestii ochrony danych osobowych” – podkreśla Ewa Kurowska-Tober, partnerka w DLA Piper.
Raport DLA Piper obejmuje 27 państw UE oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein. Pełna wersja raportu jest dostępna pod adresem: dla-piper-fines-and-data-breach-survey-2025.pdf.
Źródło informacji: DLA Piper