Za te naruszenia w dokumentacji ochrony danych grozi kara finansowa według rodo

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 22 maja 2017
Za te naruszenia w dokumentacji ochrony danych grozi kara finansowa według rodo

Ogólne rozporządzenie o ochronie danych wprowadza bardzo wysokie kary finansowe, nawet do 20 mln euro. Choć rozporządzenie nie nakazuje wprost prowadzenia określonej dokumentacji, to także za naruszenia w tym zakresie mogą grozić kary finansowe. Sprawdź, jakich obowiązków dokumentacyjnych trzeba będzie dopełnić, aby ich uniknąć.

Przepisy ogólnego rozporządzenia o ochronie danych przewidują wysokie kary pieniężne. Będą one nakładane przez organ nadzorczy bezpośrednio po stwierdzeniu naruszenia. Polski organ nadzorczy (według projektu ustawy o ochronie danych osobowych – Prezes Urzędu Ochrony Danych Osobowych) nie będzie już musiał wydawać decyzji nakazującej usunięcie stwierdzonych nieprawidłowości – od razu będzie mógł wymierzyć stosowną karę finansową.

Jakie kary finansowe przewiduje ogólne rozporządzenie

Skuteczna ochrona danych osobowych wymaga skutecznych i odstraszających kar. Z tego założenia wyszedł ustawodawca unijny, wprowadzając system sankcji za nieprzestrzeganie postanowień ogólnego rozporządzenia. W zależności od rodzaju naruszeń z zakresu ochrony danych ogólne rozporządzenie o ochronie danych przewiduje administracyjne kary pieniężne w wysokości:

  • do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa,
  • do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, również zastosowanie ma kwota wyższa.

Jak będzie ustalana wysokość kar

Najbardziej dotkliwym rodzajem kary, jaki przewiduje rozporządzenie, jest administracyjna kara pieniężna. Rozporządzenie wiąże ten rodzaj sankcji z określonymi kategoriami naruszeń ochrony danych. Nakazuje różnicować wysokość kar z uwagi na okoliczności faktyczne każdego indywidualnego przypadku takie jak np.:

  • waga, czas trwania naruszenia, rodzaj naruszonych danych osobowych,
  • umyślny bądź nieumyślny charakter naruszenia,
  • działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Kary finansowe to nie wszystko

Oprócz administracyjnych kar pieniężnych ogólne rozporządzenie przewiduje także sankcje administracyjne. Krajowy organ nadzorczy został wyposażony w dość szerokie uprawnienia kontrolne i naprawcze. Jeśli stwierdzi, że doszło do naruszenia przepisów rozporządzenia, może poprzestać na skorzystaniu z tych uprawnień bez wymierzania kary pieniężnej. Może także zadecydować, że zastosuje sankcję administracyjną i jednocześnie nałoży na dany podmiot karę pieniężną.

Zgodnie z ogólnym rozporządzeniem organowi nadzorczemu przysługuje w stosunku do administratora danych prawo do:

  • wydawania ostrzeżeń dotyczących możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania,
  • udzielania upomnień w przypadku gdy doszło do naruszenia przepisów rozporządzenia przez operacje przetwarzania,
  • nakazania spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia,
  • nakazania dostosowania operacji przetwarzania do przepisów rozporządzenia,
  • wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,
  • nakazania zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Uwaga

Uwaga

Niezależnie od kar pieniężnych i sankcji administracyjnych w przypadku naruszenia przepisów rozporządzenia trzeba liczyć się z odpowiedzialnością cywilną. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia postanowień rozporządzenia, będzie miała prawo żądać od administratora wypłaty odszkodowania za poniesioną szkodę.

 W przepisach prawa krajowego mogą zostać wprowadzone także inne sankcje za naruszenie przepisów z zakresu ochrony danych osobowych, w szczególności za naruszenia, które nie podlegają administracyjnym karom pieniężnym, np. sankcje karne czy dyscyplinarne wobec pracowników.

Kiedy kara pieniężna będzie nakładana

Ogólne rozporządzenie o ochronie danych wymienia kategorie obowiązków, których naruszenie skutkuje odpowiedzialnością finansową. Niższa kara (w wysokości do 10 mln euro, a w przypadku przedsiębiorców do 2% obrotu) grozi, gdy administrator danych złamie takie obowiązki jak:

  • uwzględnianie ochrony danych w fazie projektowania oraz przestrzegania zasady domyślnej ochrony danych,
  • wynikające ze współadministrowania danymi osobowymi,
  • związane z przetwarzaniem w twoim imieniu danych przez podmiot przetwarzający,
  • rejestrowanie czynności przetwarzania,
  • współpraca z organem nadzorczym,
  • stosowanie odpowiednich środków bezpieczeństwa zapewniających wymagany poziom ochrony danych osobowych,
  • zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu,
  • zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych,
  • związane z oceną skutków przetwarzania dla ochrony danych osobowych,
  • konsultacja planowanego przetwarzania danych z organem nadzorczym przed przystąpieniem do przetwarzania, jeśli była wymagana.

Wyższa kara (w wysokości do 20 mln euro, a w przypadku przedsiębiorców do 4% obrotu) przewidziana jest dla sytuacji, w których ADO dopuści się naruszenia przepisów rozporządzenia dotyczących takich kwestii jak np.:

  • podstawowe zasady przetwarzania danych osobowych, w tym warunki i zasady uzyskiwania zgody osoby, której dane dotyczą, 
  • prawa osób, których dane dotyczą, 
  • przekazywanie danych osobowych do państw trzecich. 

Za jakie naruszenia w dokumentacji będą groziły kary

Jeśli przeanalizujemy regulacje ogólnego rozporządzenia o ochronie danych, to nie znajdziemy wśród nich takich, które nakładają wprost obowiązek prowadzenia określonej dokumentacji przetwarzania danych osobowych. W rozporządzeniu nie ma konkretnych wskazówek czy zaleceń, które odnoszą się do kształtu i sposobu prowadzenia takiej dokumentacji. Nie oznacza to jednak, że dokumentacja przetwarzania danych nie jest wymagana, a za nieprawidłowości w tym zakresie nie poniesiesz żadnej odpowiedzialności.  

Administrator danych będzie musiał wykazać, że przetwarza dane zgodnie z wymogami ogólnego rozporządzenia o ochronie danych. W tym celu powinien wdrożyć odpowiednie polityki i dokumentację, co potwierdzać będzie, że wypełnia obowiązki określone w rozporządzeniu. Brak dokumentacji lub nieprawidłowości w jej prowadzeniu mogą oznaczać, że ADO nie przestrzega tych obowiązków, a zatem, że narusza przepisy rozporządzenia.

Administracyjna kara pieniężna będzie grozić ADO, jeśli np.:

  • nie prowadzi rejestru czynności przetwarzania danych,
  • nie zawarł w formie pisemnej lub elektronicznej umowy powierzenia przetwarzania danych,
  • nie wydał upoważnień dla osób przetwarzających dane w jego imieniu,
  • nie przygotował dokumentacji, która potwierdzi uzgodnienia współadministratorów danych co do zakresu odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia,
  • nie przyjął wewnętrznych polityk bezpieczeństwa potwierdzających wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych,
  • nie prowadzi dokumentacji potwierdzającej zgłoszenie incydentu ochrony danych organowi nadzorczemu.

Druga grupa obowiązków, za nieprzestrzeganie których grożą kary finansowe, to te związane z respektowaniem praw osób fizycznych, których dane są przetwarzane. W szczególności chodzi o obowiązki, które dotyczą warunków uzyskiwania zgody na przetwarzanie danych osobowych, informowania osób fizycznych o przetwarzaniu ich danych, umożliwienia sprostowania czy usunięcia danych. Na odpowiedzialność finansową ADO może zatem narazić się, gdy:

  • ma nieprawidłowe klauzule zgód na przetwarzanie danych albo nie jest w stanie wykazać, że ma podstawę prawną do przetwarzania danych,
  • nie dysponuje pisemnym lub elektronicznym dokumentem potwierdzającym, że wykonał obowiązek informacyjny przy gromadzeniu danych osób, których dane dotyczą,
  • nie ma dokumentów, z których by wynikało, że wykonał obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania.
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel