RODO w liczbach: co przyniosło nam pierwsze pięć miesięcy?

Statystyki zebrane z ośmiu państw Unii Europejskiej na potrzeby pierwszego numeru „GDPR Today” pokazują, że – zaledwie pięć miesięcy po rozpoczęciu stosowania RODO – nowe prawo żyje i ma się świetnie. Urzędy ochrony danych otrzymały tysiące skarg i informacji o naruszeniach, nałożone też zostały pierwsze kary.

Zgromadzone przez nas liczby pokazują, że RODO nie ogranicza się do ogólnych zasad i pustych obietnic, ale jest praktycznym i często stosowanym narzędziem, które pomaga chronić prywatność każdego i każdej z nas. Chociaż do pierwszego numeru „GDPR Today” udało nam się zdobyć wyczerpujące dane tylko z ośmiu krajów, spodziewamy się, że na potrzeby kolejnych numerów (ukazujących się co dwa miesiące) krąg reprezentowanych państw się poszerzy.

Liczby pokazują, że RODO jest praktycznym i często stosowanym narzędziem, które pomaga chronić prywatność każdego i każdej z nas.

Wykresy poniżej przedstawiają statystyki przekazane nam przez urzędy ochrony danych z następujących krajów: Francji, Irlandii, Niemiec, Polski, Rumunii, Szwecji, Wielkiej Brytanii i Włoch. Statystyki odnoszą się do różnych okresów w zależności od kraju (zobacz zestawienie na końcu artykułu), ale za datę początkową wszystkie przyjmują 25 maja.

Pomimo naszych najlepszych starań dane z poszczególnych państw nie są w pełni porównywalne. Niektóre urzędy nadzorcze regularnie publikują statystyki w Internecie (np. Francja i Wielka Brytania) lub szybko odpowiadają na wnioski o udostępnienie informacji publicznej (np. polski Urząd Ochrony Danych Osobowych). Część z nich nie ukrywała, że systematyczne przekazywanie nam informacji statystycznych jest zbyt dużym obciążeniem w obliczu ilości pracy, z którą się mierzą. Organy nadzorcze niektórych państw w ogóle nie zareagowały na nasze prośby o dane. To pokazuje, że aby skutecznie monitorować życie RODO w całej Europie, potrzebujemy zharmonizowanych zasad udostępniania statystyk.

Liczby, które otrzymaliśmy z dwóch państw, Niemiec i Wielkiej Brytanii, nie są wystarczająco dokładne: statystyki z Niemiec dotyczą jedynie 5 z 16 landów, a dane z Wielkiej Brytanii obejmują nie tylko skargi i informacje o naruszeniach zgłoszone na podstawie RODO, ale również te, które co prawda trafiły do organu po 25 maja, ale dotyczyły poprzednio obowiązującej ustawy o ochronie danych osobowych z 1998 r.

Nawet niekompletne dane dają nam jednak bardzo wartościowy wgląd w funkcjonowanie RODO. Urzędy ochrony danych zapytaliśmy o statystyki w czterech kategoriach:

• łączna liczba skarg,
• łączna liczba zgłoszeń naruszeń ochrony danych,
• łączna liczba nałożonych kar oraz ich wysokości,
• liczba kodeksów dobrych praktyk (zarówno złożonych, jak i zatwierdzonych).

Skargi

Wykresy w wersji interaktywnej dostępne są na portalu GDPR Today.

Nawet mając na uwadze wygórowaną liczbę skarg w Wielkiej Brytanii, możemy śmiało powiedzieć, że po 25 maja konsumenci masowo wzięli sprawy we własne ręce, składając tysiące skarg do organów nadzorczych. Europejska Rada Ochrony Danych twierdzi, że w całej Europie złożono ponad 42 230 skarg. Te liczby mogą być jeszcze większe, jeśli uświadomimy sobie, że RODO pozwala także składać pozwy bezpośrednio do sądów, czego nasze dane nie uwzględniają.

Zgłoszenia naruszeń ochrony danych

Wykresy w wersji interaktywnej dostępne są na portalu GDPR Today.

Wysoka liczba zgłoszonych naruszeń ochrony danych (łącznie ponad 13 tysięcy) sugeruje, że firmy i inne organizacje poważnie traktują obowiązki wynikające z art. 33 RODO. Wiele organów ochrony danych wskazało, że w porównaniu z tym samym okresem ubiegłego roku zgłoszenia naruszeń są liczniejsze. To oczywiście nie oznacza, że obecnie firmom zdarza się więcej naruszeń, ale że te zaistniałe są o wiele częściej zgłaszane do organu. Dla konsumentów to dobra zmiana: są lepiej poinformowani o tym, jak chronić dane, które mogły dostać się w niepowołane ręce. W dłuższej perspektywie standardy postępowania z naruszeniami, które ukształtują się dzięki zgłoszeniom, wzmocnią również bezpieczeństwo danych. Według Information Commissioner’s Office – brytyjskiego odpowiednika UODO – najwięcej zgłoszeń dotyczyło ujawnienia danych (prawie 4 tysiące przypadków). Nie mamy informacji o tym, jakie kategorie naruszeń dominowały w innych krajach.

Podsycany przez media strach przed gigantycznymi karami dochodzącymi do 20 milionów euro okazał się – przynajmniej na razie – nieuzasadniony.

Zebrane dane pokazują, że do tej pory kary zostały nałożone tylko sześć razy, co jest w pełni zrozumiałe, jeśli weźmiemy pod uwagę, że RODO obowiązuje dopiero od kilku miesięcy, a postępowania muszą być prowadzone starannie. Wszystkie sześć kar nałożył organ nadzorczy niemieckiego landu Nadrenia Północna-Westfalia, a ich łączna wysokość to 2350 euro (jedna kara w wysokości 600 euro, dwie po 500 euro i trzy po 250 euro). Nie wiemy, czy te kary są efektem indywidualnych skarg, czy też postępowań wszczętych po zgłoszeniu naruszeń ochrony danych. Jest jednak jasne, że podsycany przez media strach przed gigantycznymi karami dochodzącymi do 20 milionów euro okazał się – przynajmniej na razie – nieuzasadniony. Ustalanie wysokości kar za poszczególne rodzaje naruszeń to dla organów nadzorczych twardy orzech do zgryzienia. Czas pokaże, jak poradzą sobie one z tym wyzwaniem i czy pojawią się w tej kwestii ogólnoeuropejskie standardy.

Kodeksy postępowań (złożone)

Wykresy w wersji interaktywnej dostępne są na portalu GDPR Today.

Organizacje branżowe mogą tworzyć kodeksy dobrych praktyk, które mają za zadanie pomóc poszczególnym sektorom stosować RODO. Projekty kodeksów są składane do właściwych organów nadzorczych, które następnie rozpatrują je i zatwierdzają lub odrzucają. Do 25 września zostało złożonych tylko sześć takich projektów: cztery w Rumunii, jeden w Polsce i jeden w Niemczech. Żaden z nich nie został jeszcze zatwierdzony. Biorąc pod uwagę to, że Europejska Rada Ochrony Danych pracuje obecnie nad wytycznymi w sprawie kodeksów postępowań i instytucji monitorujących, spodziewamy się, że więcej kodeksów pojawi się w nadchodzących miesiącach.

Co dalej?

RODO dopiero nabiera rozpędu. Pierwsze pięć miesięcy jego obowiązywania nie przyniosło nam jeszcze oczekiwanych ze strachem (albo z niecierpliwością, w zależności od punktu widzenia) milionowych kar ani doniosłych, ustanawiających nowe standardy decyzji czy wyroków. Te ostatnie nieuchronnie się zbliżają – zostały już złożone kluczowe skargi przeciwko internetowym gigantom takim jak Facebook czy Google. Na portalu GDPR Today będziemy co dwa miesiące zbierać statystyki od urzędów ochrony danych z całej Europy – bądź z nami na bieżąco!

Karolina Iwańska

Informacje na temat aktualności statystyk z poszczególnych krajów:

Francja: 25 września (z wyjątkiem zgłoszeń naruszeń ochrony danych – 17 października); dane zebrane przez Access Now

Irlandia: 28 września; dane zebrane przez Open Rights Group i Digital Rights Ireland

Niemcy: 24 sierpnia (Brema), 31 sierpnia (Berlin), 10 września (Brandenburgia), 20 września (Nadrenia Północna-Westfalia), 25 września (Saksonia); dane zebrane przez Panoptykon

Polska: 25 września; dane zebrane przez Panoptykon

Rumunia: 25 września; dane zebrane przez Association for Technology and Internet

Szwecja: dane zebrane przez DataSkydd

Wielka Brytania: 25 września; dane zebrane przez Open Rights Group

Włochy: 25 września; dane zebrane przez Hermes Center for Transparency and Digital Human Rights

Tekst pierwotnie ukazał się po angielsku na portalu GDPRtoday.org.

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.