26 marca 2025
W co trzeciej firmie są wątpliwości czy właściwie wdrożono RODO. Tymczasem nadchodzi KSC
Od wprowadzenia w Polsce unijnego rozporządzenia o ochronie danych osobowych (RODO) minęło już niemal 7 lat. Mimo to w aż 32% firm nie ma pewności, czy odpowiednio dostosowały się do wymagań prawnych – wynika z raportu „Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Na przedsiębiorców czekają kolejne obowiązki wynikające z planowanego uchwalenia Krajowego Systemu Cyberbezpieczeństwa i unijnej dyrektywy NIS2.
Milionowe kary to nie straszak a rzeczywistość
Rozporządzenie o ochronie danych osobowych, czyli RODO zostało przyjęte przez Parlament Europejski w kwietniu 2016 roku, natomiast dwa lata później odpowiednią ustawą przepisy zostały wprowadzone w Polsce. Dostosowanie działania firm do nowych norm prawnych w zakresie przechowywania danych okazało się znacznym wyzwaniem, zaś obawy były potęgowane m. in. przez groźbę gigantycznych kar: do 10 lub 20 mln euro oraz do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku, w zależności od danego wykroczenia.
Kary okazały się nie tylko groźbą. Już pod koniec 2019 r. na Virgin Mobile, popularną wówczas sieć telefonii komórkowej nałożono karę sięgającą niemal 2 mln zł. Pomimo odwołań, ostateczna kara wyniosła aż 1,6 mln zł.
Kilka lat po uchwaleniu przepisów, polskie firmy nadal mają kłopot ze skutecznym wdrażaniem polityki ochrony danych, w tym danych osobowych. I tak suma kar pieniężnych z nałożonych przez Prezesa UODO decyzji w 2024 roku wyniosła około 14 mln zł – donosi GrantThornton1. Najwyższa nałożona w 2024 r. przez Prezesa UODO administracyjna kara pieniężna to z kolei 4 053 173 zł i stanowiła 29,2% wartości wszystkich kar.
Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, że 80% przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20% administracji publicznej i państwowej2
Kamil Sadkowski
analityk laboratorium antywirusowego ESET
Pomimo iż odpowiednie akty prawne funkcjonują od lat, w znaczącej części polskich przedsiębiorstw wciąż dopełnienie wymagań okazuje się… niewiadomą. W 32% polskich firm nadal nie ma pewności, czy odpowiednio dostosowano się do przepisów RODO – wynika z raportu „Cyberportret polskiego biznesu” stworzonego przez ESET i DAGMA Bezpieczeństwo IT. Mimo to nastawienie przedstawicieli firm do przepisów i ich wdrożenia w danej firmie jest stosunkowo pozytywne. Blisko 7 na 10 przedstawicieli firm badanych przez ESET i DAGMA Bezpieczeństwo IT uważa, że w skuteczny sposób dostosowały się do wymogów przepisów RODO.
Z drugiej strony obserwujemy, że nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71% badanych. Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy (51%). W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we właściwej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo
Kamil Sadkowski
analityk laboratorium antywirusowego ESET
Badanie ESET i DAGMA Bezpieczeństwo IT potwierdza, że w większości przedsiębiorstwa wypracowały odpowiednie procedury związane z ochroną danych osobowych oraz ich przechowywaniem, na co zwraca uwagę aż 68% ankietowanych.
W niemal 2/3 firm deklaruje się transparentność w zbieraniu i przetwarzaniu danych osobowych klientów i kontrahentów oraz stosowanie ograniczonego i dodatkowo zabezpieczonego dostępu pracowników do firmowych zasobów zawierających dane szczególnej kategorii. - Zastanawiać może, że około 1/3 respondentów nie postrzega swojego pracodawcy jako firmy przestrzegającej kwestii związanych z RODO
Kamil Sadkowski
analityk laboratorium antywirusowego ESET
Wchodzi KSC: Czy znów posypią się kary?
W lutym 2025 roku pojawiła się kolejna, piąta wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Przepisy mają wdrożyć unijną dyrektywę NIS2 w zakresie bezpieczeństwa cyfrowego, a instytucje i firmy czeka sporo wyzwań.
Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie. Dla tzw. podmiotów kluczowych, czyli np. administracja publiczna, sektor zdrowia, przedsiębiorstwa energetyczne, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln euro lub 2 proc. przychodów osiągniętych przez podmiot w roku poprzednim. Z kolei dla podmiotów ważnych mogą wynieść maksymalnie 7 mln euro lub 1,4 proc. przychodów.
Zwróciłbym uwagę na fakt, że o ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak: IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS (poprzedniczka NIS2) spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa.
Kamil Sadkowski
analityk laboratorium antywirusowego ESET
Źródła:
1 Kto płaci za naruszenie RODO? | GrantThornton
2 Jw.
* Raport „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników” oparto na badaniu opinii, przeprowadzonym w terminie 23.05 - 10.06 2024 r. Pomiar zrealizowano metodą CAWI za pomocą profesjonalnej ankiety online przy wsparciu instytutu ARC Rynek i Opinia. Pomiar przeprowadzono na próbie 1032 Polaków wykonujących obowiązki służbowe przy komputerze minimum przez 3 dni w tygodniu. Zdecydowana większość badanych (88%) wykonywała swoje zadania służbowe codziennie przy wykorzystaniu sprzętu elektronicznego od pracodawcy. Próba objęła także tzw. boost n=256 osób zaangażowanych w działania z zakresu cyberbezpieczeństwa w swoim miejscu zatrudnienia. Analizy w raporcie dotyczą badanych ekspertów ds. cyberbezpieczeństwa z firm liczących przynajmniej 10 pracowników (n=227). Na grono ekspertów ds. cyberbezpieczeństwa składała się różnorodna grupa respondentów, od praktyków monitorujących, zabezpieczających i audytujących firmowe systemy bezpieczeństwa, przez osoby wpływające na budżety na ten cel i menedżerów zespołów cybersecurity, aż po szkoleniowców w tym zakresie.

Bartosz Różalski
senior product manager ESET
Masz pytania?
Skontaktuj się ze mną:
rozalski.b@dagma.pl
32 259 11 37
Podobne wpisy:
Polecane wydarzenia: