Nie zabezpieczasz odpowiednio dokumentów z danymi wrażliwymi? Sprawdź, jaką odpowiedzialność przewiduje RODO

Monika Brzozowska-Pasieka

Autor: Bartosz Lasota

Dodano: 4 grudnia 2017
Nie zabezpieczasz odpowiednio dokumentów z danymi wrażliwymi? Sprawdź, jaką odpowiedzialność przewiduje RODO

Prawidłowe zabezpieczenie dokumentów zawierających dane osobowe – zarówno te zwykłe, jak i wrażliwe – jest bezwzględnym obowiązkiem wynikającym z powszechnie obowiązujących przepisów prawa. Nie zmieni się to także na gruncie RODO. Dowiedz się, jaka odpowiedzialność będzie Ci groziła, jeśli nie zabezpieczysz odpowiednio dokumentów z danymi wrażliwymi.

Od 25 maja 2018 r. w całej Unii Europejskiej stosowane będzie ogólne rozporządzenie o ochronie danych (RODO). W treści motywu 10 RODO znajduje się zapis, zgodnie z którym państwa członkowskie mogą doprecyzować przepisy rozporządzenia, w tym również „w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej „danymi wrażliwymi”). W tym zakresie RODO nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem”.

Dane szczególnej kategorii, czyli jakie

Zgodnie z art. 9 RODO za dane wrażliwe uznać można m.in.:

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,
  • dane genetyczne, dane biometryczne służące do jednoznacznego zidentyfikowania osoby fizycznej lub
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Co RODO zmienia w kwestii odpowiedzialności za dane

W kwestii zabezpieczania dokumentów zawierających dane osobowe na gruncie RODO należy odwołać się m.in. do artykułu 24, 32 oraz 35 tego aktu, ponieważ niosą one za sobą pewne zmiany w stosunku do regulacji zawartych w ustawie o ochronie danych osobowych. Zgodnie z art. 24 RODO do obowiązków administratora należy wdrożenie odpowiednich środków technicznych i organizacyjnych z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Aby wykazać przestrzeganie tego obowiązku, administrator może stosować zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO oraz zatwierdzone mechanizmy certyfikacji (art. 42 RODO).

Odnosząc się do jednocześnie do regulacji zawartej w art. 32 RODO, należy wskazać, że administrator i podmiot przetwarzający, wdrażając odpowiednie środki techniczne i organizacyjne, powinni, bazując na oszacowanym ryzyku oraz uwzględniając zarówno stan wiedzy technicznej, jak i koszt wdrożenia, zdecydować o adekwatnych zabezpieczeniach. Przy ocenie omawianego ryzyka uwzględnia się w szczególności ryzyko związane z przetwarzaniem danych osobowych. Ogólne rozporządzenie o ochronie danych w tym miejscu wskazuje wyłącznie przykładowe, możliwe do zastosowania środki, a to, na jakie zdecydują się administrator i podmiot przetwarzający, pozostawia już do ich indywidualnej decyzji.

Pod kątem zabezpieczenia dokumentów zawierających dane wrażliwe kluczowa jest również regulacja zawarta w art. 35 RODO. Normuje ona „ocenę skutków dla ochrony danych” na planowanych operacjach przetwarzania. Dokonuje jej administrator przed rozpoczęciem przetwarzania, w przypadku gdy z dużym prawdopodobieństwem przetwarzanie to może powodować duże ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator wyznaczy inspektora ochrony danych, to z nim będzie musiał konsultować tę ocenę. Jak wskazuje ustęp trzeci omawianego przepisu, ocena skutków dla ochrony danych osobowych wymagana jest w szczególności w przypadku przetwarzania na dużą skalę danych wrażliwych (art. 35 ust. 2 pkt b RODO).

Ważne:

Ogólne rozporządzenie o ochronie danych osobowych nie wskazuje wprost, jakie środki bezpieczeństwa należy stosować, aby zabezpieczyć dokumenty zawierające dane wrażliwe – w przeciwieństwie do obowiązującego jeszcze rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024), które reguluje kwestię dokumentów w formie elektronicznej.

Rodzaje odpowiedzialności w RODO

Odpowiedzialność cywilna

Na mocy art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Odpowiedzialność cywilna, o której mowa w cytowanym przepisie, dotyczy zarówno szkody majątkowej, jak i krzywdy (szkody niemajątkowej).

Odpowiedzialność administracyjna

W kwestii odpowiedzialności administracyjnej, zgodnie z art. 58 ust. 2 RODO, każdemu organowi nadzorczemu (w Polsce – Prezes Urzędu Ochrony Danych Osobowych) będzie przysługiwać wiele uprawnień naprawczych, takich jak przykładowo:

  • wydawanie ostrzeżeń,
  • udzielanie upomnień,
  • nieudzielenie, cofnięcie bądź nakazanie cofnięcia certyfikacji określonej w art. 42 lub 43 RODO.

Jednak do szczególnie istotnych uprawnień naprawczych należy zaliczyć:

  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,
  • zastosowanie, oprócz lub zamiast opisanych środków, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.

Administracyjna odpowiedzialność finansowa

Kluczową zmianą, której z całą pewnością nie wolno bagatelizować, jest wprowadzenie w obrębie odpowiedzialności administracyjnej możliwości nakładania administracyjnych kar pieniężnych. Kary te, jak wskazuje art. 83 ust. 1 RODO, powinny być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Rozporządzenie w ustępie drugim omawianego artykułu zawiera katalog okoliczności, które organ nadzorczy powinien brać pod uwagę, decydując się na nałożenie kary finansowej i określając jej wymiar.

Zgodnie z art. 83 ust. 4 lit. a RODO za naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO, grozi administracyjna kara pieniężna w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. To nie koniec. Jak wskazuje art. 83 ust. 5 lit. a, b oraz c RODO, za naruszenia:

  • przepisów dotyczących podstawowych zasad przetwarzania, o których mowa w art. 5, 6, 7 oraz 9 RODO,
  • praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO,
  • zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym mowa w art. 44–49 RODO,

możliwa wysokość kary wzrasta do maksymalnej wartości 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Odpowiedzialność karna

W obrębie odpowiedzialności karnej, jak wskazuje motyw 149 RODO, „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach”. To, że RODO pozostawia uregulowanie przepisów karnych poszczególnym państwom członkowskim, wynika z różnic w obrębie zarówno polityki karania, jak i krajowych przepisów karnych w poszczególnych państwach członkowskich.  

Ważne:

Projekt nowej ustawy o ochronie danych osobowych przedstawiony przez Ministerstwo Cyfryzacji 12 września 2017 r. przewiduje dwa przepisy karne. Za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych będzie groziła grzywna (art. 89 ust. 1 projektu ustawy). Natomiast za przetwarzanie szczególnych kategorii danych (danych wrażliwych) bez podstawy prawnej będzie groziła grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku (art. 90 ust. 1 projektu ustawy).

Monika Brzozowska-Pasieka

Autor: Bartosz Lasota

aplikant radcowski, absolwent Prawa na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego oraz Informatyki Stosowanej na Wydziale Matematyki i Informatyki Uniwersytetu Jagiellońskiego, prowadzi audyty systemów informatycznych pod kątem bezpieczeństwa danych osobowych, a także analizuje ryzyko pod kątem RODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel