Ochrona danych osobowych powinna stanowić ważny element dobrze zorganizowanego przedsiębiorstwa. Zaniedbanie obowiązków wynikających z przepisów RODO może skutkować dla przedsiębiorcy przetwarzającego i przechowującego dane osobowe poważnymi konsekwencjami.

Zwiększona podatność na utratę danych wynika z faktu, że firmy z dnia na dzień przechodzą na nowe procedury i systemy w związku z pandemią Covid-19, a środowisko pracy zdalnej stanowi podatny grunt dla cyberprzestępców (link). W ostatnim roku co trzecia firma musiała zmierzyć się z naruszeniami cyberbezpieczeństwa. Najczęstszym
zagrożeniem było działanie szkodliwego oprogramowania, w tym ransomware oraz klasyczne ataki sieciowe na infrastrukturę.

Naruszenie przepisów RODO może skutkować odpowiedzialnością administracyjną. Przepisy RODO przewidują dwie kategorie kar finansowych, uszeregowane w zależności od kategorii dokonanego naruszenia. Organ nadzorczy może nałożyć:

karę administracyjną do 10 000 000 euro lub w wysokości do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego w przypadku naruszenia:

  • określonych obowiązków administratora i podmiotu przetwarzającego (m.in. obowiązki dotyczące zapewnienia bezpieczeństwa przetwarzania, współpracy z organem nadzorczym, zgłaszanie organowi nadzorczemu informacji o naruszeniu zasad ochrony, zawiadomienie osoby, której dane dotyczą o naruszeniu zasad ochrony jej danych osobowych, wyznaczenie inspektora ochrony danych osobowych);
  • określonych obowiązków podmiotu certyfikującego;
  • określonych obowiązków podmiotu monitorującego.

karę administracyjną do 20 000 000 euro lub w wysokości do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego w przypadku naruszenia:

  • podstawowych zasad przetwarzania, w tym warunków wyrażenia zgody;
  • praw osób, których dotyczą przetwarzane dane osobowe;
  • zasad przekazywania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej;

Konsekwencje wycieku danych mogą również uruchamiać odpowiedzialnością karną. Przepisy karne zostały zawarte w ustawie o ochronie danych osobowych i przewidują one – w zależności od rodzaju czynu – karę grzywny, karę ograniczenia wolności lub karę pozbawienia wolności nawet do lat trzech.

Wyciek danych dla przedsiębiorstwa może także wiązać się z ryzykiem utraty reputacji związanym z negatywnym odbiorem wizerunku podmiotu przez klientów, kontrahentów, inwestorów, akcjonariuszy, nadzorców oraz opinię publiczną (link).

Wejście w życie regulacji RODO wymusiło na firmach konieczność przeszkolenia personelu. Szkolenia z zakresu ochrony danych osobowych prowadzi 84% ankietowanych przedsiębiorstw. Firmy chętnie sięgają również po szkolenia certyfikacyjne (55%) oraz szkolenia praktyczne oparte na symulacji (40%) pracowników bezpieczeństwa IT i cybersecurity. Szkolenia z zakresu zgodności z normami (compliance) prowadzi zaś 38% organizacji. Co warte odnotowania, co druga firma inwestuje w rozwój personelu nietechnicznego, organizując szkolenia z podnoszenia świadomości zagrożeń oraz bezpiecznego korzystania z Internetu.

Autor: Łukasz Urbański, broker ubezpieczeniowy

Przeczytaj inne artykuły na temat cyberbezpieczeństwa: