Od wprowadzenia w Polsce unijnego rozporządzenia o ochronie danych osobowych (RODO) minęło już niemal 7 lat.
Mimo to w aż 32% firm nie ma pewności, czy odpowiednio dostosowały się do wymagań prawnych – wynika z raportu „Cyberportret polskiego biznesu” przygotowanego przez firmy Eset i Dagma Bezpieczeństwo IT. Tymczasem na przedsiębiorców czekają kolejne obowiązki wynikające z planowanego uchwalenia Krajowego Systemu Cyberbezpieczeństwa i unijnej dyrektywy NIS2.
Milionowe kary to nie straszak a rzeczywistość
Rozporządzenie o ochronie danych osobowych, czyli RODO zostało przyjęte przez Parlament Europejski w kwietniu 2016 r., natomiast dwa lata później odpowiednią ustawą przepisy zostały wprowadzone w Polsce. Dostosowanie działania firm do nowych norm prawnych w zakresie przechowywania danych okazało się znacznym wyzwaniem, zaś obawy były potęgowane m. in. przez groźbę gigantycznych kar: do 10 lub 20 mln euro oraz do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku, w zależności od danego wykroczenia.
Kary okazały się nie tylko groźbą. Już pod koniec 2019 r. na Virgin Mobile, popularną wówczas sieć telefonii komórkowej nałożono karę sięgającą niemal 2 mln zł. Pomimo odwołań, ostateczna kara wyniosła aż 1,6 mln zł.
Suma kar pieniężnych z nałożonych przez prezesa UODO decyzji w ub.r. wyniosła ok. 14 mln zł
Kilka lat po uchwaleniu przepisów, polskie firmy przez cały czas mają kłopot ze skutecznym wdrażaniem polityki ochrony danych, w tym danych osobowych. I tak suma kar pieniężnych z nałożonych przez prezesa UODO decyzji w 2024 r. wyniosła około 14 mln zł – informuje firma GrantThornton. Najwyższa nałożona w 2024 r. przez prezesa UODO administracyjna kara pieniężna to z kolei 4 053 173 zł i stanowiła 29,2% wartości wszystkich kar.
– Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, iż 80% przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20% administracji publicznej i państwowej – mówi Kamil Sadkowski, analityk laboratorium antywirusowego Eset.
Nastawienie zależne od wielkości firmy
Pomimo iż odpowiednie akty prawne funkcjonują od lat, w znaczącej części polskich firm wciąż dopełnienie wymagań okazuje się… niewiadomą. W 32% polskich firm przez cały czas nie ma pewności, czy odpowiednio dostosowano się do przepisów RODO – wynika z raportu „Cyberportret polskiego biznesu” stworzonego przez Eset i Dagma Bezpieczeństwo IT.
Mimo to nastawienie przedstawicieli firm do przepisów i ich wdrożenia w danej firmie jest stosunkowo pozytywne. Blisko 7 na 10 przedstawicieli firm badanych we wspomnianym raporcie uważa, iż w skuteczny sposób dostosowały się do wymagań przepisów RODO.
W segmencie MŚP odsetek firm adekwatnie wdrażających RODO spada do blisko połowy
– Z drugiej strony obserwujemy, iż nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze adekwatne wdrożenie rozwiązań wynikających z RODO deklaruje 71% badanych. Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy (51%). W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we adekwatnej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo – dodaje Kamil Sadkowski.
Wchodzi KSC: Czy znów posypią się kary?
W lutym 2025 r. pojawiła się kolejna, piąta wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Przepisy mają wdrożyć unijną dyrektywę NIS2 w zakresie bezpieczeństwa cyfrowego, a instytucje i firmy czeka sporo wyzwań.
Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie. Dla tzw. podmiotów kluczowych, czyli np. administracja publiczna, sektor zdrowia, przedsiębiorstwa energetyczne, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln euro lub 2 proc. przychodów osiągniętych przez podmiot w roku poprzednim. Z kolei dla podmiotów ważnych mogą wynieść maksymalnie 7 mln euro lub 1,4 proc. przychodów.
Fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona
– Zwróciłbym uwagę na fakt, iż o ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak: IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS (poprzedniczka NIS2) spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za najważniejsze w tym kontekście, należy wymienić: adekwatne zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa – komentuje Kamil Sadkowski.
