Analiza kolejnych decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) wskazuje, że organ coraz surowiej reaguje na naruszenia ochrony danych osobowych. Treść decyzji pozwala jednak administratorom ustalić, na jakie ryzyka powinni zwracać uwagę, jakich działań powinni się wystrzegać, ale również w jaki sposób powinni interpretować przepisy RODO. W grudniu minionego roku, Prezes UODO nałożył karę w wysokości ponad 1,9 mln zł na spółkę Virgin Mobile Polska. Kara była pokłosiem ataku hakerskiego, w wyniku którego nieuprawnione osoby uzyskały dostęp do jednej z baz danych klientów. Prezes UODO uznał, iż spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. W toku postępowania, spółka podnosiła co prawda, że testowała i monitorowała zastosowane środki techniczne i organizacyjne, które miały zapewnić bezpieczeństwo gromadzonych i przetwarzanych danych. UODO uznał jednak, iż działaniom tym zabrakło regularnego i kompleksowego charakteru, gdyż działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane były dane. Sama dokumentacja wewnętrzna spółki nie regulowała natomiast kwestii stałego testowania, oceniania skuteczności zabezpieczeń oraz ich mierzenia. Dokonując wymiaru kary, organ wziął pod uwagę fakt, iż mimo stosunkowo krótkotrwałego dostępu do systemów, osoby nieuprawnione miały możliwość pobrania dużej ilości danych, zaś sama podatność na zagrożenie wycieku danych istniała od dawna. Okolicznością łagodzącą była jednak postawa spółki i współpraca z organem w trakcie postępowania.

Również w grudniu 2020 r. Prezes UODO ukarał portal pożyczkowy MoneyMan.pl, należący do spółki ID Finance Poland sp. z o.o. w likwidacji. Spółka ta otrzymała informacje o lukach w jej zabezpieczeniach, jednak nie zareagowała na nie w sposób wystarczający (dokonała jedynie pobieżnej analizy sytuacji). Tymczasem doszło do skopiowania danych przez osobę nieuprawnioną, która usunęła je z serwera i zażądała okupu. Dopiero ten incydent skłonił spółkę do weryfikacji stosowanych środków bezpieczeństwa. W ocenie Prezesa UODO to niezdolność spółki do szybkiego stwierdzenia powstałego zagrożenia i jego usunięcia, doprowadziła do utraty danych osobowych. Z powyższych decyzji wynika, że samo wdrożenie procedur czy polityk nie jest wystarczające dla zabezpieczenia danych osobowych. W celu zapewnienia skuteczności ochrony oraz uniknięcia ewentualnych kar, kluczowym jest, by administratorzy stale monitorowali aktualność i skuteczność wdrożonej dokumentacji, a w razie potrzeby implementowali dodatkowe środki bezpieczeństwa.