Od wprowadzenia w Polsce unijnego rozporządzenia o ochronie danych osobowych (RODO) minęło już niemal 7 lat. Mimo to w aż 32% firm nie ma pewności, czy odpowiednio dostosowały się do wymagań prawnych – wynika z raportu „Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Na przedsiębiorców czekają kolejne obowiązki wynikające z planowanego uchwalenia Krajowego Systemu Cyberbezpieczeństwa i unijnej dyrektywy NIS2.
Milionowe kary to nie straszak a rzeczywistość
Rozporządzenie o ochronie danych osobowych, czyli RODO zostało przyjęte przez Parlament Europejski w kwietniu 2016 roku, natomiast dwa lata później odpowiednią ustawą przepisy zostały wprowadzone w Polsce. Dostosowanie działania firm do nowych norm prawnych w zakresie przechowywania danych okazało się znacznym wyzwaniem, zaś obawy były potęgowane m. in. przez groźbę gigantycznych kar: do 10 lub 20 mln euro oraz do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku, w zależności od danego wykroczenia.
Kary okazały się nie tylko groźbą. Już pod koniec 2019 r. na Virgin Mobile, popularną wówczas sieć telefonii komórkowej nałożono karę sięgającą niemal 2 mln zł. Pomimo odwołań, ostateczna kara wyniosła aż 1,6 mln zł.
Kilka lat po uchwaleniu przepisów, polskie firmy nadal mają kłopot ze skutecznym wdrażaniem polityki ochrony danych, w tym danych osobowych. I tak suma kar pieniężnych z nałożonych przez Prezesa UODO decyzji w 2024 roku wyniosła około 14 mln zł – donosi GrantThornton1. Najwyższa nałożona w 2024 r. przez Prezesa UODO administracyjna kara pieniężna to z kolei 4 053 173 zł i stanowiła 29,2% wartości wszystkich kar.
– Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, że 80% przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20% administracji publicznej i państwowej – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Nastawienie zależne od wielkości firmy
Pomimo iż odpowiednie akty prawne funkcjonują od lat, w znaczącej części polskich przedsiębiorstw wciąż dopełnienie wymagań okazuje się… niewiadomą. W 32% polskich firm nadal nie ma pewności, czy odpowiednio dostosowano się do przepisów RODO – wynika z raportu „Cyberportret polskiego biznesu” stworzonego przez ESET i DAGMA Bezpieczeństwo IT. Mimo to nastawienie przedstawicieli firm do przepisów i ich wdrożenia w danej firmie jest stosunkowo pozytywne. Blisko 7 na 10 przedstawicieli firm badanych przez ESET i DAGMA Bezpieczeństwo IT uważa, że w skuteczny sposób dostosowały się do wymogów przepisów RODO.
– Z drugiej strony obserwujemy, że nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71% badanych. Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy (51%). W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we właściwej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo – dodaje Kamil Sadkowski.
Badanie ESET i DAGMA Bezpieczeństwo IT potwierdza, że w większości przedsiębiorstwa wypracowały odpowiednie procedury związane z ochroną danych osobowych oraz ich przechowywaniem, na co zwraca uwagę aż 68% ankietowanych.
– W niemal 2/3 firm deklaruje się transparentność w zbieraniu i przetwarzaniu danych osobowych klientów i kontrahentów oraz stosowanie ograniczonego i dodatkowo zabezpieczonego dostępu pracowników do firmowych zasobów zawierających dane szczególnej kategorii. – Zastanawiać może, że około 1/3 respondentów nie postrzega swojego pracodawcy jako firmy przestrzegającej kwestii związanych z RODO – wskazuje Kamil Sadkowski.
Wchodzi KSC: Czy znów posypią się kary?
W lutym 2025 roku pojawiła się kolejna, piąta wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Przepisy mają wdrożyć unijną dyrektywę NIS2 w zakresie bezpieczeństwa cyfrowego, a instytucje i firmy czeka sporo wyzwań.
Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie. Dla tzw. podmiotów kluczowych, czyli np. administracja publiczna, sektor zdrowia, przedsiębiorstwa energetyczne, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln euro lub 2 proc. przychodów osiągniętych przez podmiot w roku poprzednim. Z kolei dla podmiotów ważnych mogą wynieść maksymalnie 7 mln euro lub 1,4 proc. przychodów.
– Zwróciłbym uwagę na fakt, że o ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak: IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS (poprzedniczka NIS2) spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa. – komentuje Kamil Sadkowski.