RODO: mniej szumu, więcej liczb

fot.: freepik.com

O ochronie danych osobowych mówi się dziś znacznie mniej niż kilka lat temu. RODO przestało być tematem numer jeden konferencji, artykułów i spotkań firmowych zarządów. Zniknęła atmosfera paniki i masowych wdrożeń „na wczoraj”, a regulacja – przynajmniej pozornie – wtopiła się w codzienność organizacji. Cisza ta nie ma jednak żadnego pokrycia w danych: w 2020 roku do Urzędu Ochrony Danych Osobowych trafiło nieco ponad 7,5 tysiąca zgłoszeń naruszeń ochrony danych osobowych. Pięć lat później było ich zaś już ponad 22 tysiące, a w tym samym czasie łączna wartość nakładanych kar wzrosła z kilku milionów złotych rocznie do ponad 64 milionów złotych w ubiegłym roku.

Z RODO mam do czynienia praktycznie od samego początku jego obowiązywania. Gdy w 2018 roku zatrudniłem się w firmie zajmującej się zarządzaniem i utrzymaniem nieruchomości jako specjalista ds. informatyki i zamówień publicznych, jednym z moich pierwszych zadań było wdrożenie tej regulacji w organizacji. Dla wszystkich była to wtedy absolutna nowość. Nikt nie miał gotowych schematów, nikt nie wiedział, jak to „powinno wyglądać”, a większość decyzji podejmowano po omacku. Punktem odniesienia były wcześniejsze przepisy o ochronie danych osobowych obowiązujące w Polsce oraz normy ISO, które mają z RODO dużo wspólnego.

Tamten czas pamiętam jako okres dużej niepewności, ale też intensywnej nauki. RODO było wszędzie: w mediach, w rozmowach zarządów, w mailach od prawników i firm doradczych. Dziś zajmuję się tym obszarem znacznie rzadziej niż kiedyś, bo zawodowo jestem dużo bliżej IT, systemów, danych i infrastruktury. Temat jednak nigdy całkowicie nie zniknął z mojego radaru. Niedawno postanowiłem do niego wrócić. Bardziej z ciekawości niż z obowiązku. Zadałem sobie proste pytanie: jaka jest faktyczna skala działania organu nadzorczego? Ile naruszeń realnie trafia do Urzędu Ochrony Danych Osobowych i jak często kończy się to karami? W debacie publicznej te liczby pojawiają się fragmentarycznie, często wyrwane z kontekstu, a ja chciałem zobaczyć pełniejszy obraz. Skorzystałem więc z prawa dostępu do informacji publicznej i zapytałem przedstawicieli UODO o interesujące mnie kwestie.

Liczby, które otrzymałem, są wymowne. W 2020 roku do UODO zgłoszono nieco ponad 7,5 tysiąca naruszeń ochrony danych osobowych. Rok później było to już prawie 13 tysięcy. W kolejnych latach liczba zgłoszeń utrzymywała się na wysokim poziomie, by w 2025 roku skoczyć do ponad 22 tysięcy. W ciągu kilku lat mamy więc do czynienia z niemal trzykrotnym wzrostem liczby zgłoszeń.

To, co szczególnie zwraca uwagę, to fakt, że naruszenia – i późniejsze konsekwencje – dotyczą zarówno podmiotów prywatnych, jak i publicznych. W pierwszych latach dominowały m.in. telekomunikacja, sektor finansowy, ubezpieczenia i ochrona zdrowia, a po stronie publicznej – samorządy, administracja rządowa i służby mundurowe. Problem nie dotyczy więc jednego typu organizacji ani jednej branży.

Dobrym, bardzo aktualnym przykładem jest sprawa z początku lutego, kiedy Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa UODO o nałożeniu kary na Komendanta Głównego Policji. Sprawa dotyczyła ujawnienia podczas konferencji prasowej danych o stanie zdrowia oraz życiu prywatnym kobiety, która przeszła aborcję – czyli informacji należących do szczególnej kategorii danych osobowych. Sąd w pełni potwierdził, że doszło do naruszenia RODO i że kara w wysokości 75 tys. zł była zasadna.

Z jednej strony to informacja dość „krzepiąca” – pokazuje, że nie ma świętych krów i że przepisy obowiązują również organy władzy publicznej. Z drugiej jednak jest to marne pocieszenie, bo w praktyce pieniądze krążą między instytucjami budżetowymi. Sens tej decyzji nie leży więc w samej kwocie, lecz w jasnym sygnale: konferencja prasowa nie zwalnia z odpowiedzialności, a argument interesu medialnego ma bardzo wyraźne granice.

Jeszcze ciekawszy obraz wyłania się, gdy spojrzeć szerzej na kary finansowe. W pierwszych latach po wejściu RODO w życie decyzji było stosunkowo niewiele, a łączna wartość kar – choć medialna – pozostawała na poziomie kilku milionów złotych rocznie. Bywały lata, w których przy dużej liczbie zgłoszeń suma kar była zaskakująco niska. Prawdziwa zmiana nastąpiła stosunkowo niedawno. W 2024 roku łączna kwota nałożonych kar przekroczyła 13 milionów złotych, a w 2025 roku sięgnęła ponad 64 milionów. Co istotne, nie wynika to z lawinowego wzrostu liczby decyzji, lecz z kilku bardzo wysokich sankcji, liczonych w dziesiątkach milionów złotych. To wyraźny sygnał, że organ nadzorczy coraz ostrzej reaguje na poważne, systemowe zaniedbania, a nie na drobne incydenty.

Te dane dobrze pokazują coś, co z perspektywy IT i bezpieczeństwa informacji widać od dawna. RODO nie jest dziś problemem „papierowym”. Największe ryzyka nie wynikają z braku klauzuli informacyjnej czy źle sformułowanego regulaminu, ale z braku kontroli nad systemami, procesami i danymi. Tam, gdzie zawodzi technika, organizacja i zarządzanie, tam pojawiają się realne konsekwencje finansowe.

Patrząc na te liczby z dystansu siedmiu lat od pierwszych wdrożeń, mam wrażenie, że RODO dojrzało. Przestało być straszakiem, a stało się jednym z elementów normalnego funkcjonowania organizacji. Jednocześnie stało się też bezlitosnym sprawdzianem dla tych, którzy przez lata traktowali ochronę danych jako temat poboczny. I chyba właśnie to najlepiej pokazują statystyki: nie sama liczba zgłoszeń, ale rosnąca skala odpowiedzialności za to, co dzieje się z danymi w systemach, które na co dzień projektujemy, utrzymujemy i rozwijamy.

RODO: mniej szumu, więcej liczb

fot.: freepik.com

O ochronie danych osobowych mówi się dziś znacznie mniej niż kilka lat temu. RODO przestało być tematem numer jeden konferencji, artykułów i spotkań firmowych zarządów. Zniknęła atmosfera paniki i masowych wdrożeń „na wczoraj”, a regulacja – przynajmniej pozornie – wtopiła się w codzienność organizacji. Cisza ta nie ma jednak żadnego pokrycia w danych: w 2020 roku do Urzędu Ochrony Danych Osobowych trafiło nieco ponad 7,5 tysiąca zgłoszeń naruszeń ochrony danych osobowych. Pięć lat później było ich zaś już ponad 22 tysiące, a w tym samym czasie łączna wartość nakładanych kar wzrosła z kilku milionów złotych rocznie do ponad 64 milionów złotych w ubiegłym roku.

Z RODO mam do czynienia praktycznie od samego początku jego obowiązywania. Gdy w 2018 roku zatrudniłem się w firmie zajmującej się zarządzaniem i utrzymaniem nieruchomości jako specjalista ds. informatyki i zamówień publicznych, jednym z moich pierwszych zadań było wdrożenie tej regulacji w organizacji. Dla wszystkich była to wtedy absolutna nowość. Nikt nie miał gotowych schematów, nikt nie wiedział, jak to „powinno wyglądać”, a większość decyzji podejmowano po omacku. Punktem odniesienia były wcześniejsze przepisy o ochronie danych osobowych obowiązujące w Polsce oraz normy ISO, które mają z RODO dużo wspólnego.

Tamten czas pamiętam jako okres dużej niepewności, ale też intensywnej nauki. RODO było wszędzie: w mediach, w rozmowach zarządów, w mailach od prawników i firm doradczych. Dziś zajmuję się tym obszarem znacznie rzadziej niż kiedyś, bo zawodowo jestem dużo bliżej IT, systemów, danych i infrastruktury. Temat jednak nigdy całkowicie nie zniknął z mojego radaru. Niedawno postanowiłem do niego wrócić. Bardziej z ciekawości niż z obowiązku. Zadałem sobie proste pytanie: jaka jest faktyczna skala działania organu nadzorczego? Ile naruszeń realnie trafia do Urzędu Ochrony Danych Osobowych i jak często kończy się to karami? W debacie publicznej te liczby pojawiają się fragmentarycznie, często wyrwane z kontekstu, a ja chciałem zobaczyć pełniejszy obraz. Skorzystałem więc z prawa dostępu do informacji publicznej i zapytałem przedstawicieli UODO o interesujące mnie kwestie.

Liczby, które otrzymałem, są wymowne. W 2020 roku do UODO zgłoszono nieco ponad 7,5 tysiąca naruszeń ochrony danych osobowych. Rok później było to już prawie 13 tysięcy. W kolejnych latach liczba zgłoszeń utrzymywała się na wysokim poziomie, by w 2025 roku skoczyć do ponad 22 tysięcy. W ciągu kilku lat mamy więc do czynienia z niemal trzykrotnym wzrostem liczby zgłoszeń.

To, co szczególnie zwraca uwagę, to fakt, że naruszenia – i późniejsze konsekwencje – dotyczą zarówno podmiotów prywatnych, jak i publicznych. W pierwszych latach dominowały m.in. telekomunikacja, sektor finansowy, ubezpieczenia i ochrona zdrowia, a po stronie publicznej – samorządy, administracja rządowa i służby mundurowe. Problem nie dotyczy więc jednego typu organizacji ani jednej branży.

Dobrym, bardzo aktualnym przykładem jest sprawa z początku lutego, kiedy Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa UODO o nałożeniu kary na Komendanta Głównego Policji. Sprawa dotyczyła ujawnienia podczas konferencji prasowej danych o stanie zdrowia oraz życiu prywatnym kobiety, która przeszła aborcję – czyli informacji należących do szczególnej kategorii danych osobowych. Sąd w pełni potwierdził, że doszło do naruszenia RODO i że kara w wysokości 75 tys. zł była zasadna.

Z jednej strony to informacja dość „krzepiąca” – pokazuje, że nie ma świętych krów i że przepisy obowiązują również organy władzy publicznej. Z drugiej jednak jest to marne pocieszenie, bo w praktyce pieniądze krążą między instytucjami budżetowymi. Sens tej decyzji nie leży więc w samej kwocie, lecz w jasnym sygnale: konferencja prasowa nie zwalnia z odpowiedzialności, a argument interesu medialnego ma bardzo wyraźne granice.

Jeszcze ciekawszy obraz wyłania się, gdy spojrzeć szerzej na kary finansowe. W pierwszych latach po wejściu RODO w życie decyzji było stosunkowo niewiele, a łączna wartość kar – choć medialna – pozostawała na poziomie kilku milionów złotych rocznie. Bywały lata, w których przy dużej liczbie zgłoszeń suma kar była zaskakująco niska. Prawdziwa zmiana nastąpiła stosunkowo niedawno. W 2024 roku łączna kwota nałożonych kar przekroczyła 13 milionów złotych, a w 2025 roku sięgnęła ponad 64 milionów. Co istotne, nie wynika to z lawinowego wzrostu liczby decyzji, lecz z kilku bardzo wysokich sankcji, liczonych w dziesiątkach milionów złotych. To wyraźny sygnał, że organ nadzorczy coraz ostrzej reaguje na poważne, systemowe zaniedbania, a nie na drobne incydenty.

Te dane dobrze pokazują coś, co z perspektywy IT i bezpieczeństwa informacji widać od dawna. RODO nie jest dziś problemem „papierowym”. Największe ryzyka nie wynikają z braku klauzuli informacyjnej czy źle sformułowanego regulaminu, ale z braku kontroli nad systemami, procesami i danymi. Tam, gdzie zawodzi technika, organizacja i zarządzanie, tam pojawiają się realne konsekwencje finansowe.

Patrząc na te liczby z dystansu siedmiu lat od pierwszych wdrożeń, mam wrażenie, że RODO dojrzało. Przestało być straszakiem, a stało się jednym z elementów normalnego funkcjonowania organizacji. Jednocześnie stało się też bezlitosnym sprawdzianem dla tych, którzy przez lata traktowali ochronę danych jako temat poboczny. I chyba właśnie to najlepiej pokazują statystyki: nie sama liczba zgłoszeń, ale rosnąca skala odpowiedzialności za to, co dzieje się z danymi w systemach, które na co dzień projektujemy, utrzymujemy i rozwijamy.