Mariusz Kędzior
Uniwersytet Ekonomiczny we Wrocławiu
Filia W Jeleniej Górze
KOSZTY ZAPEWNIENIA BEZPIECZEŃSTWA PRZETWARZANIA
DANYCH OSOBOWYCH W ORGANIZACJI
Wstęp
Wprowadzenie od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych spo-wodowało, że przedsiębiorcy, którzy w swej działalności przetwarzają dane osobowe osób fizycznych, zostali zobowiązani do wdrożenia nowych procedur . Przez dwa lata poprze-dzające implementację RODO wielu przedsiębiorców przygotowywało się do dostosowa-nia swojej organizacji do wymogów przepisów prawa europejskiego. Dokonano inwentary-zacji danych osobowych, wdrożono zabezpieczenia organizacyjne oraz zaktualizowano sys-temy i rozwiązania IT (ang. Information Technology), które mogłyby pomóc uchronić orga-nizację przed potencjalnymi skutkami niewłaściwego przetwarzania danych osobowych. Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. RODO musiały wdrożyć wszystkie organy administracji publicznej. Do 25.05.2018r. nie było takiego obowiązku. Obecnie, zarówno duże jak i małe firmy czy urzędy, szkoły, ośrodki pomocy społecznej czy domy kultury itp. muszą przetwarzać dane osobowe zgodnie z prawem unijnym RODO . W konsekwencji organizacje poniosły szereg kosztów zarówno w postaci nakładu pracy jak i kosztów związanych z zakupami sprzęto-wymi oraz szkoleniami organizowanymi dla personelu zatrudnionego przy przetwarzaniu danych osobowych. Wdrożenie przepisów o ochronie danych osobowych w niektórych przypadkach (np. w administracji publicznej czy przedsiębiorstwach zatrudniających po-wyżej 250 osób) wiąże się z koniecznością zatrudnienia osób na stanowisku Inspektora Ochrony Danych Osobowych (IOD), co przyczynia się do wzrostu kosztów .
W związku z tym, że samo rozporządzenie o ochronie danych osobowych nie wskazuje szczegółowo formy w jakiej dostosowanie organizacji jest konieczne, wielu przedsiębior-ców początkowo posługiwało się dokumentami, które można było odszukać w Internecie lub wytworzyło własną dokumentację w oparciu o zdobytą wiedzę, przekazywaną podczas szkoleń wdrożeniowych. Takie podejście spowodowało szereg niepotrzebnych kosztów po stronie organizacji ze względu na fakt, że nie wszystkie dokumenty były wymagane do prawidłowego postępowania w zgodności z rozporządzeniem RODO lub były wytworzone niewłaściwie.
Praca jest próbą odpowiedzi na następujące pytania:
• Jakie koszty zostały poniesione przez organizacje podczas wdrażania RODO?
• Jakie skutki niesie za sobą nieprawidłowe zaimplementowanie przepisów o ochronie danych osobowych?
• Na jakie kary finansowe narażona jest organizacja działająca niezgodnie z przepisa-mi o ochronie danych osobowych?
Opracowanie oparto na przeglądzie literatury fachowej, poradników dotyczących RODO, raportach oraz publikacjach internetowych.
1. Organizacja i jej gotowość do wdrożenia RODO.
Z przetwarzaniem danych osobowych mamy do czynienia podczas każdego procesu zwią-zanego z pobieraniem, przeglądaniem czy archiwizowaniem danych osobowych, a co za tym idzie, każdy administrator i podmiot przetwarzający powinien uwzględnić ochronę danych osobowych już na etapie projektowania operacji przetwarzania . Obecnie, informacje są po-równywalne do ,,złota XXI” wieku, zarówno gdy mowa jest o danych osobowych osób fi-zycznych jak również danych handlowych, biznesowych czy patentach. Nieograniczony do-stęp do informacji jakie dają nowoczesne technologie powoduje, że są one wykorzystywane powszechnie, często bez jakiejkolwiek kontroli. Zatem wprowadzenie RODO daje możliwość ograniczenia swobodnego przepływu informacji lecz z pewnością nie eliminuje zupełnie ryzy-ka niezgodnego z prawem ich przepływu.
Dane osobowe dzieli się na dane zwykłe i dane szczególnie chronione . Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie informacji takich jak:
• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy,
• jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, gene-tyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Według raportu PwC - ,,Cyber-ruletka po polsku - Dlaczego firmy w walce z cyberprze-stępcami liczą na szczęście?”, na wczesnym etapie wdrażania RODO organizacje były przy-gotowane na niskimi poziomie . Wobec tego zaczęło się gorączkowe poszukiwanie rozwiązań, pozwalających dostosować organizację do nowej sytuacji jak najmniejszym kosztem i nakła-dem pracy. Organizacje nie były gotowe nie tylko pod względem wytworzenia odpowiednich procedur, ale również nie posiadały specjalistów czy osób odpowiedzialnych za bezpieczeń-stwo IT.
Przytoczone poniżej dane z raportu PwC pokazują jak wyglądała gotowość przebadanych organizacji do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Z badań tych wynika, że :
• 20% dużych i średnich przedsiębiorstw nie zatrudniało nikogo od cyberbezpieczeń-stwa,
• 59% dużych i średnich przedsiębiorstw nie zatrudniało nikogo od cyberbezpieczeń-stwa na stanowisku kierowniczym,
• 46% przedsiębiorstw nie posiadało operacyjnych procedur reakcji na incydenty,
• 3% budżetu IT stanowią średnio wydatki na bezpieczeństwo,
• 8% przebadanych firm jest dojrzałych pod względem bezpieczeństwa informacji.
Organizacje zaczęły sięgać po gotowe rozwiązania oferowane przez usługodawców, któ-rzy pojawili się na rynku, by przy ich pomocy wdrożyć odpowiednie standardy, a tym samym uniknąć nieuchronności kary za nieprzygotowanie organizacji do implementacji RODO. W konsekwencji wyprodukowano ogromną ilość materiałów. W organizacjach pojawiły się bane-ry informujące na temat RODO, które zaczęły spełniać rolę obowiązku informacyjnego, dru-kowano stosy klauzul informacyjnych oraz niezliczone ilości formularzy zgody. Zaczęto do-stosowywać strony internetowe oraz firmową pocztę e-mail do nowych regulacji. Wdrożenie RODO okazało się kosztowne już na wczesnym etapie, a wydatki na zabezpieczenie danych trzeba także wpisać w koszty prowadzenia organizacji na przyszłość, ponieważ ustawa o ochranie danych osobowych wymaga nieustannej aktualizacji wdrożonych procedur, by ochrona informacji wychodziła naprzeciw nowym technologiom .
2. Rozporządzenie Parlamentu Europejskiego a kary finansowe za naruszenie da-nych osobowych.
Przedsiębiorcy w Polsce z obawy na grożące im kary pieniężne za naruszenia, przeprowa-dzili szereg działań, by zapewnić jak najwyższe bezpieczeństwo podczas przetwarzania da-nych osobowych. Nałożenie kary na przedsiębiorstwo może skutkować brakiem płynności finansowej aż do upadłości organizacji włącznie. Wyjaśnić należy zatem, jakie działania mogą wiązać się z nałożeniem takich kar i jaka może być ich maksymalna wysokość. Warto zazna-czyć, że nie ma sztywno wskazanych wartości kar za poszczególne naruszenia. Ich wysokość zależna będzie od wielu czynników, takich jak m.in.:
• charakter, waga i czas trwania naruszenia,
• liczba osób poszkodowanych w jego wyniku oraz rozmiaru szkody,
• umyślny lub nieumyślny charakter naruszenia,
• działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimali-zowania szkody,
• kategorie danych, których dotyczyło naruszenie,
• stopień współpracy z organem nadzorczym,
• sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a więc czy administrator (lub podmiot przetwarzający) sam zgłosił naruszenie.
Jeżeli więc skala działalności nie jest duża, a przetwarzane przez organizację dane nie są danymi szczególnych kategorii, to w przypadku ewentualnego naruszenia organ nadzorczy prawdopodobnie nie wymierzy najwyższej możliwej kary. Zgodnie z rozporządzeniem ma ona być jednak skuteczna, proporcjonalna i odstraszająca, a więc należy się spodziewać, że będzie dotkliwa. W rozporządzeniu rozróżniono dwie kategorie kar finansowych :
• do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego cał-kowitego rocznego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie obo-wiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfi-kującego, obowiązków podmiotu monitorującego),
• do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego cał-kowitego rocznego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie pod-stawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim lub organi-zacji międzynarodowej, wszelkich obowiązków wynikających z prawa państwa człon-kowskiego, nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy).
Różnego rodzaju sankcje najczęściej kojarzą się z prawem karnym. Okazuje się jednak, że występują one także w prawie administracyjnym, a w wymiarze pieniężnym mogą być bardzo dotkliwe. W związku z RODO w Polsce nałożono już kilka kar o różnej wysokości w zależno-ści od rangi naruszenia. Poniższa tabela pokazuje, które organizacje zostały ukarane, jak wyso-kie były nałożone na te organizacje kary a także w oparciu o który art. rozporządzenia o ochronie danych osobowych kara została zastosowana.
Tabela 1. Zestawienie kar nałożonych na organizacje w Polsce od początku obowiązywania rozporządze-nia o ochronie danych osobowych
Lp. Data nałoże-nia
kary Ukarany podmiot Wysokość ka-ry Podstawa prawna Organ na-kładający
1 2019-10-16 ClickQuickNow 47.000 EUR Art. 5 RODO UODO
2 2019-10-18 Burmistrz Aleksan-drowa Kujawskiego 9.380 EUR Art. 28 RODO UODO
3 2019-09-10 Morele.net 644.780 EUR Art. 32 RODO UODO
4 2019-04-25 Związek sportowy 12.950 EUR Art. 6 RODO UODO
5 2019-03-26 Bisnode Polska Sp. z o.o 219.538 EUR Art. 14 RODO UODO
Źródło: opracowanie własne na podstawie: Matylla&Wata, Kary RODO, [https://mwinspektorzy.pl/kary-rodo], (dostęp 06.02.2020)
Na firmę „ClickQuickNow” UODO nałożył grzywnę za utrudnianie korzystania z prawa odstąpienia od przetwarzania danych osobowych. Firma ta nie podjęła odpowiednich środków technicznych i organizacyjnych, które pozwalają na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz korzystanie z prawa do żądania usunięcia danych osobowych . Niższą karą nałożoną za brak zawarcia umowy powierzenia przetwarza-nia danych osobowych była kara, nałożona na Burmistrza Aleksandrowa Kujawskiego. Nie doszło do zawarcia umowy z firmą, której serwery zawierały zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miasta w Aleksandrowie Kujawskim . UODO nałożył także grzyw-nę na „Morele.net” za niewystarczające zabezpieczenia organizacyjne i techniczne, które do-prowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób. W tym przy-padku można mieć wątpliwości czy kara była nałożona właściwie. Organizacja została zaata-kowana bowiem przez hakerów, którzy doprowadzili do wycieku danych . De facto ofiarą jest „Morele.net” i z tego tytułu zobowiązany jest jeszcze ponieść koszty nałożonej grzywny. Sprawa obecnie znajduje się w sądzie, ponieważ organizacja „Morele.net” odwołała się od postanowienia o nałożeniu kary.
Kolejna sankcja nałożona przez organ nadzorczy UODO dotyczyła związku sportowe-go, który opublikował dane osobowe dotyczące sędziów piłkarskich, którym przyznano licen-cje sędziego drogą internetową . Opublikowano imiona i nazwiska, a także dokładne adresy i numery PESEL. Brak jest podstawy prawnej, aby tak szeroki zakres danych dotyczących sę-dziów był dostępny w Internecie. Ujawniając je, Administrator (związek sportowy) stwarzał potencjalne ryzyko ich nieuprawnionego użycia, np. podszywania się pod wymienionych sę-dziów w celu zaciągania pożyczek lub innych zobowiązań. Chociaż związek sam zauważył swój błąd, o czym świadczy powiadomienie Prezesa UODO o naruszeniu ochrony danych osobowych, fakt, że próby usunięcia go były nieskuteczne, spowodował nałożenie kary. Przy ustalaniu wysokości grzywny, Prezes UODO wziął pod uwagę między innymi czas trwania naruszenia oraz fakt, że dotyczyło ono dużej grupy osób (585 sędziów). UODO stwierdził, że chociaż naruszenie zostało ostatecznie usunięte, miało ono poważny charakter. Nakładając karę, UODO wziął również pod uwagę okoliczności łagodzące, takie jak dobra współpraca między Administratorem, a organem nadzorczym czy brak dowodów, że szkoda została wy-rządzona osobom, których dane zostały ujawnione.
Ostatnia z dotychczas nałożonych grzywien dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, uzyskane z publicznie dostępnych źródeł, (między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej) do celów komercyjnych . Organ nadzorczy zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator „Bisnode Polska Sp. z o.o” spełnił obowiązek informacyjny, przekazując informacje wymagane jedynie w odniesieniu do osób, których adresy e-mail posiadał . W przypadku pozostałych osób, których dane były ujawnio-ne administrator nie wywiązał się z obowiązku informacyjnego – jak wyjaśniano w trakcie postępowania – z powodu wysokich kosztów operacyjnych. „Bisnode” zamieścił klauzulę informacyjną tylko na swojej stronie internetowej, co według UODO nie było działaniem wy-starczającym w związku z czym została nałożona kara.
W innych krajach członkowskich również zostały nałożone pierwsze kary. Na uwagę zasługuje fakt, że dotychczas największą liczbą nałożonych kar odnotowano w Hiszpanii a po jednej na Litwie i Malcie . Najwyższą bo w kwocie 3 milionów euro nałożono we Włoszech. Włoski organ nadzorczy nałożył na Eni Gas i Luce (Egl) dwie grzywny w wysokości 11,5 mln EUR za niezgodne z prawem przetwarzanie danych osobowych w kontekście działań rekla-mowych i aktywacji niezamówionych umów. Druga grzywna w wysokości 3 mln EUR doty-czy naruszeń wynikających z zawarcia niezamówionych umów na dostawę energii elektrycz-nej i gazu na warunkach gospodarki rynkowej. Wiele osób skarżyło się Urzędowi, że dowie-działy się o zawarciu nowej umowy dopiero po otrzymaniu pisma o wypowiedzeniu umowy z poprzednim dostawcą lub pierwszych faktur Egl. W niektórych przypadkach skargi zgłaszały fałszywe informacje w umowach i fałszywe podpisy.
Tabela 2. Zestawienie kar nałożonych na organizacje w Państwach członkowskich UE od początku obowiązywania rozporządzenia o ochronie danych osobowych – najwyższe ka-ry.
Lp. Państwo Ilość kar łącznie Wysokość najwyższej kary Podstawa prawna Organizacja
/ branża
1 Austria 8 50.000 EUR Art. 13 RODO
Art. 37 RODO Firma z sektora medycznego
2 Belgia 7 15.000 EUR Art. 6 GDPR Art. 12, 13 GDPR Website providing legal information
3 Bułgaria 16 511.000 EUR Art. 32 RODO DSK Bank
4 Cypr 6 82.000 EUR Art. 6 RODO, Art. 9 RO-DO LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd
5 Czechy 11 9.704 EUR Art. 5 (1c i 1e) RODO Brak dancyh
6 Dania 2 200.850 EUR Art. 5 (1e) i (2) RODO IDdesign A/S
7 Francja 5 50.000.000 EUR Art. 13 RODO, Art. 14 RODO, Art. 6 RODO, Art. 4 nr. 11 RODO, Art. 5 RODO Google Inc.
8 Grecja 4 200.000 EUR Art. 21(3) RODO
Art. 25 RODO Dostawca usług telekomunikacyj-nych
9 Hiszpania 46 150.000 EUR Art. 5 (1) a) b) i c) RODO
Art. 5 (2) RODO
Art. 6 (1) RODO
Art. 13 (1) c) RODO
Art. 14 (1) c) RODO PWC Business Solutions
10 Holandia 3 900.000 EUR Art. 32 RODO UWV (Dutch em-ployee insurance service provider)
11 Litwa 1 61.500 EUR Art. 5 GDPR, Art. 32 GDPR, Art. 33 GDPR UAB MisterTango – dostawca usług płatniczych
12 Malta 1 5.000 EUR Art. 5 RODO, Art. 32 RODO Urząd Ziemski
13 Niemcy 18 14.500.000 EUR Art. 5 RODO
Art. 25 RODO Deutsche Woh-nen SE
14 Norwegia 2 203.000 EUR Art. 32 RODO Wydział Edukacji Miejskiej w Oslo
15 Portugalia 4 400.000 EUR Art. 5 (1f) RODO, Art. 32 RODO Szpital
16 Rumunia 21 150.000 EUR Art. 32 RODO Raiffeisen Bank SA
17 Szwecja 2 35.000 EUR
Art. 6 RODO Nusvar AB Mrkoll.se – stronę internetową
18 Słowacja 6 50.000 EUR Art. 32 RODO Social Insurance Agency
19 Wielka Brytania 3 204.600.000 EUR Art. 32 RODO British Airways (linie lotnicze)
20 Węgry 14 92.146 EUR Art. 6 RODO, Art. 5 (1b) RODO, Art. 13 RODO Organizator: Sziget festival i Volt fe-stival
21 Włochy 4 3.000.000 EUR Art. 5 RODO, Art. 6 RO-DO Eni Gas e Luce
22 Łotwa 2 150.000 EUR Art. 6 RODO Brak danych
Źródło: opracowanie własne na podstawie: [https://mwinspektorzy.pl/kary-rodo], (dostęp 06.02.2020)
Wprowadzone przepisy o ochronie danych osobowych obowiązują na terenie całej Unii europejskiej, ponieważ głównym celem było ujednolicenie reguł przetwarzania danych osobo-wych w każdym państwie członkowskim. Rozporządzenie napisane jest bardzo ogólnie, bez wskazania konkretnych ścieżek postępowania, a co za tym idzie organizacje, które niewłaści-wie zinterpretują prawo lub popełnią błędy przy jego stosowaniu mogą liczyć się z nieuchron-nością kary oraz jej konsekwencjami finansowymi czy też wizerunkowymi.
3. Ekonomiczne następstwa utraty bezpieczeństwa danych osobowych.
Dzisiejszy biznes opiera swoje działanie głównie na dostępie do nowych technologii. Każda organizacja wyposażona jest w sprzęt komputerowy, laptopy, palmptopy i smartfony, bez których nie można wyobrazić sobie funkcjonowania na współczesnym rynku. Z drugiej strony, urządzenia te podłączone do sieci internetowej mogą sprowadzić na organizację zagro-żenie o niewyobrażalnej skali.
Ryzyko pochodzące z cyberprzestrzeni jest groźne nie tylko w skali gospodarki świa-towej czy globalnych koncernów . Zagrożenie to zaczęto dostrzegać również na poziomie małej i średniej wielkości organizacji . W roku 2018 w wyniku cyberataków straty finansowe poniosło 44% polskich przedsiębiorstw, a 62% odnotowało zakłócenia i przestoje w funkcjo-nowaniu – wynika z cytowanego wcześniej raportu firmy doradczej PwC. Analiza ekspercka pokazała dodatkowo, że jedynie 8% polskich firm jest dojrzała pod względem bezpieczeństwa cybernetycznego .
Zarządy firm uświadamiają sobie ekonomiczny oraz makroekonomiczny wymiar cyber incydentów. Skutki ekonomiczne mają swoje krótko oraz długoterminowe następstwa. Do skutków bezpośrednich, manifestujących się natychmiast należą m.in .:
• koszty przywrócenia poufności, integralności i dostępności danych oraz systemów,
• nakłady na naprawę lub odtworzenie składników majątkowych,
• finansowe następstwa oszustw i wyłudzeń (okup),
• straty w wyniku przerwy w działalności (ang business interruption);
• nakłady na PR,
• koszty obsługi prawnej,
• koszty powiadomienia poszkodowanych klientów.
Pośród skutków ekonomicznych, które będą odsunięte w czasie (ang. slow burn costs) zalicza się:
• koszty sporów sądowych i obsługi prawnej,
• roszczenia z tytułu odpowiedzialności cywilnej i regresów;
• administracyjne grzywny i kary finansowe nałożone przez organy nadzorcze,
• utrata reputacji,
• utrata przewagi konkurencyjnej,
• utrata dochodów,
• negatywny wpływ na wartość firmy (cenę akcji).
Cyberprzestępczość niesie za sobą szereg negatywnych skutków ekonomicznych. Już dziś przedsiębiorstwa winny przejawiać zainteresowanie w zminimalizowaniu następstw cyberata-ków poprzez dostosowanie swojej organizacji do wymogów bezpieczeństwa zawartych w przepisach unijnych i krajowych. W szczególności przedsiębiorstwa winny się skupić na spo-sobach unikania, zapobiegania, przeciwdziałania tego typu zdarzeniom oraz sposobach mini-malizacji ich następstw.
Możliwość naruszenia bezpieczeństwa danych stanowi zagrożenie, z którego coraz więcej zarządzających zdaje sobie sprawę. Respondenci z sektora małych i średnich przedsię-biorstw z całego świata uplasowali możliwość naruszenia bezpieczeństwa systemów informa-tycznych i danych wśród sześciu najważniejszych zagrożeń swojej działalności . Najwięcej z nich (42%) uznaje cyberryzyko jako zagrożenie o największym potencjale wzrostu w ciągu najbliższych 10 lat .
Ekonomicznymi skutkami cyberprzestępstwa są przestoje, które szczególnie dotkliwe mogą być dla firm produkcyjnych, gdzie straty z tym związane bardzo łatwo przełożyć na wymiar finansowy. Obszar produkcji jest szczególnie podatny na ataki ze względu na za-mknięty charakter systemów sterowania, klasy SCADA (ang. Supervisory Control And Data Acquisition) czy DCS (ang. Distributed Control System) , wykorzystujących przestarzałe technologie informatyczne. Łączenie ich z systemami informacji zarządczej lub ERP (ang. Enterprise Resource Planning) otwiera je na współczesne cyberataki. Tym większe znaczenie ma zapewnienie właściwej ochrony systemom sterowania i nadzoru.
Skutkiem ekspozycji organizacji na szerokie spektrum negatywnych czynników eko-nomicznych jest wzrost zainteresowania organizacji metodami zarządzania cyberryzykiem, w szczególności sposobami unikania, zapobiegania, przeciwdziałania tego typu zdarzeniom oraz sposobami minimalizacji ich następstw. Po dwóch latach od początku obowiązywania nowych regulacji widać wyraźnie, że przedsiębiorcy wykazują zainteresowanie oraz aktywność zmie-rzającą do poprawy bezpieczeństwa danych osobowych oraz zainteresowani są chronieniem danych handlowych i biznesowych.
4. Zakończenie
Celem niniejszej pracy było ustalenie kosztów, jakie zostały poniesione przez organizacje podczas wdrażania RODO, skutków, jakie niesie za sobą nieprawidłowe zaimplementowanie przepisów o ochronie danych osobowych oraz wysokości kar finansowych za działania nie-zgodne z przepisami o ochronie danych osobowych. W toku analizy literatury, poradników dotyczących RODO, raportów oraz publikacji internetowych sformułowano następujące wnioski:
1. Wdrożenie RODO w Polsce oraz dostosowanie organizacji do zapewnienia bezpie-czeństwa przetwarzania danych osób fizycznych spowodowało następujące koszty po stronie pracodawców:
a) koszt zatrudnienia pracownika na stanowisku Inspektora Ochrony Danych,
b) koszty wytworzenia dokumentacji takiej jak klauzule informacyjne i formularze zgód,
c) koszt zakupu lub modernizacji systemów komputerowych oraz IT,
d) koszty przeszkolenia pracowników z zakresu prawidłowego przetwarzania da-nych osobowych,
2. Za niedostosowanie organizacji do RODO jak również naruszenia wynikające z nieod-powiedniej polityki bezpieczeństwa przetwarzania danych osobowych, organizacjom mogą grozić nie tylko dotkliwe kary finansowe, ale także wizerunkowe (utrata reputa-cji, wiarygodności, utrata przewagi konkurencyjnej).
3. W rozporządzeniu rozróżniono dwie kategorie kar finansowych :
• do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego cał-kowitego rocznego obrotu z poprzedniego roku,
• do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego cał-kowitego rocznego obrotu z poprzedniego roku obrotowego.
W Polsce nałożono już kilka kar związanych z uchybieniami ochrony danych osobowych, o różnej wysokości (od 9,380 – 644.780 EUR), wynikające z naruszenia przepisów art. 5, 6, 14, 28 i 32 RODO.
Biorąc pod uwagę powyższe cel pracy został zrealizowany. Nie udało się jednak dokonać analizy wszystkich zagadnień związanych z kosztami, które ponoszą organizacje w związku z implementacją przepisów o ochronie danych osobowych, ponieważ RODO obowiązuje od 2 lat w związku z czym można się spodziewać, że ujawnią się nowe okoliczności w miarę prze-prowadzanych kontroli z UODO w organizacjach.
Zakres zmian prawnych związanych z wejściem w życie przepisów Rozporządzenia o Ochronie Danych Osobowych (RODO) oraz krajowej ustawy wymaga przedsięwzięć organi-zacyjnych, inwestycji technicznych, nakładów na szkolenia oraz należytego zabezpieczenia finansowego dla zapewnienia zgodności z unijną regulacją.
W konsekwencji rosną nakłady na bezpieczeństwo danych i systemów, wytworzenie do-kumentacji, stworzenie procedur czy w związku z zatrudnianiem specjalistów. Jednakże nawet przy nieograniczonym budżecie i zastosowaniu wszelkich możliwych procedur i zabezpieczeń, w sytuacji nieustannego wzrostu cyberprzestępczości, ryzyko naruszenia danych nie zostanie wyeliminowane.
By uniknąć rosnących kosztów nacisk powinien być położony przede wszystkim na bu-dowanie świadomości pracowników. Samokontrola i przestrzeganie procedur wewnątrzorga-nizacyjnych jest najlepszym zabezpieczeniem przeciw zagrożeniom płynącym z sieci interne-towej. Jednym z rozwiązań stosowanym jako zabezpieczenie na wypadek zaatakowania orga-nizacji może być polisa ubezpieczenia cyber . W Polsce rozwiązania tego typu znajdują się na początkowym etapie rozwoju, ale w przyszłości będzie odpowiedzią na zapotrzebowanie przedsiębiorców względem zabezpieczenia swojego biznesu. Zauważyć należy, że to rozwią-zanie jest także kosztem, który może być wysoki z uwagi na działalność prowadzoną przez organizacje. Nie wszystkie branże mogą liczyć na tego typu zabezpieczenie, ponieważ Towa-rzystwa Ubezpieczeniowe nie są gotowe na objęcie asekuracją ryzykownych branż takich jak na przykład organizacje z branży oferującej usługi komunalne. Im większe ryzyko utraty bez-pieczeństwa danych, tym mniejsza wola objęcia ubezpieczeniem tych branż. Wobec ogromu kosztów, które dotychczas zostały poniesione przez organizacje oraz wobec potencjalnych kosztów jakie może przynieść utrata bezpieczeństwa danych można założyć, że wydatki będą stale rosły.
Streszczenie
Wprowadzenie od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych spo-wodowało, że przedsiębiorcy, którzy w swej działalności przetwarzają dane osobowe osób fizycznych, zostali zobowiązani do wdrożenia nowych procedur. Przez dwa lata poprze-dzające implementację RODO wielu przedsiębiorców przygotowywało się do dostosowa-nia swojej organizacji do wymogów przepisów prawa europejskiego ale wiele organizacji nie zdążyło dostosować swoich procedur do nowego prawa. Organizacje zaczęły sięgać po gotowe rozwiązania oferowane przez usługodawców, którzy pojawili się na rynku, by przy ich pomocy wdrożyć odpowiednie standardy, a tym samym uniknąć nieuchronności kary za nieprzygotowanie organizacji do implementacji RODO. W konsekwencji wyproduko-wano ogromną ilość materiałów. W organizacjach pojawiły się banery informujące na temat RODO, które zaczęły spełniać rolę obowiązku informacyjnego, drukowano stosy klauzul informacyjnych oraz niezliczone ilości formularzy zgody. Zaczęto dostosowywać strony in-ternetowe oraz firmową pocztę e-mail do nowych regulacji. Wdrożenie RODO okazało się kosztowne już na wczesnym etapie, a wydatki na zabezpieczenie danych trzeba także wpi-sać w koszty prowadzenia organizacji na przyszłość, ponieważ ustawa o ochranie danych osobowych wymaga nieustannej aktualizacji wdrożonych procedur, by ochrona informacji wychodziła naprzeciw nowym technologiom. Takie podejście spowodowało szereg niepo-trzebnych kosztów po stronie organizacji ze względu na fakt, że nie wszystkie dokumenty były wymagane do prawidłowego postępowania w zgodności z rozporządzeniem RODO lub były wytworzone niewłaściwie.
Praca jest próbą odpowiedzi na następujące pytania:
• Jakie koszty zostały poniesione przez organizacje podczas wdrażania RODO?
• Jakie skutki niesie za sobą nieprawidłowe zaimplementowanie przepisów o ochronie danych osobowych?
• Na jakie kary finansowe narażona jest organizacja działająca niezgodnie z przepisa-mi o ochronie danych osobowych?
Opracowanie oparto na przeglądzie literatury fachowej, poradników dotyczących RODO, raportach oraz publikacjach internetowych.
Słowa kluczowe: Bezpieczeństwo danych osobowych, cyberbezpieczeństwo, Ochrona danych, kary finansowe, koszty ekonomiczne.
Summary:
The introduction from 25 May 2018 of Regulation (EU) 2016/679 of the European Par-liament and of the Council of 27 April 2016 on the protection of natural persons caused that entrepreneurs who process the personal data of natural persons in their activities were obliged to implement new procedures. For two years preceding the implementation of the GDPR, ma-ny entrepreneurs were preparing to adapt their organization to the requirements of European law, but many organizations did not manage to adapt their procedures to the new law. Orga-nizations began to reach for ready solutions offered by service providers who appeared on the market to implement appropriate standards with them, and thus avoid the inevitability of a penalty for not preparing the organization for the implementation of the GDPR. Consequen-tly, a huge amount of materials were produced. Banners informing about the GDPR appeared in the organizations, which began to fulfill the role of the information obligation, stacks of information clauses and countless consent forms were printed. Adaptation of websites and company e-mail to new regulations has begun. The implementation of the GDPR has proved to be costly at an early stage, and expenditure on data security must also be included in the costs of running the organization for the future, because the Act on the protection of personal data requires constant updating of implemented procedures so that information protection meets new technologies. This approach resulted in a number of unnecessary costs on the part of the organization due to the fact that not all documents were required for proper conduct in compliance with the GDPR or were incorrectly produced.
The work is an attempt to answer the following questions:
• What costs were incurred by organizations during the implementation of the GDPR?
• What are the consequences of incorrect implementation of personal data protection pro-visions?
• What financial penalties is the organization exposed not in accordance with the provi-sions on the protection of personal data?
The study was based on a review of professional literature, guides on GDPR, reports and online publications.
Keywords: Personal data security, cyber security, Data protection, financial penalties, economic costs.
Literatura:
1. Andress J., Winterfeld, S., Cyber Warfare. Techniques, Tactics and Tools for Security, Wyd. Syngress, Amsterdam, 2011
2. Feliński J. Ochrona danych osobowych w oświacie, Wyd. Wolters Kluwer, Warszawa 2018.
3. Kędzior M., Pieczarka K., Współczesne zagrożenia w cyberprzestrzeni, a funkcjonowa-nie przedsiębiorstw na globalnym rynku, Prace Naukowe Wyższej Szkoły Zarządzania i Przedsiębiorczości z siedzibą w Wałbrzychu Nr 45 (1), Wałbrzych 2018
4. Krasuski A. Ochrona danych osobowych na podstawie RODO, Wolters Kluwer. War-szawa
5. Wiśniewski P., Boehlke J. Cyberprzestępoczość w gospodarce. Wydawnictwo nauko-we Uniwersytetu Mikołaja Kopernika, Toruń 2016
Akty Prawne
1. Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 Z Dnia 27 Kwietnia 2016 r. Dziennik Urzędowy Unii Europejskiej L 119
2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dziennik Ustaw 2018 poz. 1000
Raporty
1. PricewaterhouseCoopers (PwC), Raport: Cyber-ruletka po polsku - Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście.
Zasoby internetowe
1. Allianz, Allianz Risk Barometer: Top Business Risks 2017, [https://www.agcs.allianz.com/assets/PDFs/ReportsAllianz_Risk_Barometer_2017_EN.pdf]
2. Borowska A., Administrator danych osobowych – czym się zajmuje? [https://poradnikprzedsiebiorcy.pl/-czym-zajmuje-sie-administrator-danych-osobowych]
3. Infor.pl, Kary za naruszenie przepisów RODO [https://www.infor.pl/prawo/praca/pracodawca/3045795,Kary-za-naruszenie-przepisow-RODO.html]
4. Matylla&Wata, Kary RODO, [https://mwinspektorzy.pl/kary-rodo]
5. Ponemon Institute LLC, 2017 Global Cyber Risk Transfer Comparison Report, [http://www.aon.com/attachments/risk-services/cyber/2017-Global-Cyber-Risk-Transfer-Report-Final.pdf]
6. https://findia.pl/ochrona-cyber.html
7. https://pl.wikipedia.org/wiki/DCS
8. https://pl.wikipedia.org/wiki/SCADA
9. https://www.comarch.pl/erp/co-to-jest-system-erp-faq/
10. https://www.optus.com.au/enterprise/accelerate/security/the-slow-burn-costs-of-cyber-attacks
11. https://www.ubezpieczenie.com.pl/slownik_ubezpieczeniowy/business_interruption/79,0,0,15.html