9 naruszeń, za które zgodnie z RODO możesz dostać karę

Do tej pory w polskim porządku prawnym za naruszenie przepisów ustawy o ochronie danych osobowych groziła odpowiedzialność administracyjna, karna, cywilna oraz dyscyplinarna. Kary pieniężne, które do tej pory wchodziły w grę, groziły administratorowi danych, jeśli nie wykonał obowiązków nałożonych przez GIODO. Organ nakładał je w drodze decyzji administracyjnej. Były to środki egzekucyjne – grzywna w celu przymuszenia.

W przypadku jednorazowego naruszenia kara może sięgać do 50 tys. złotych, a w przypadku wielokrotnego niewykonywania decyzji łącznie kary grzywny nie powinny przekraczać 200 tys. zł. W stosunku do osób fizycznych może być wymierzona grzywna o maksymalnej wysokości 10 tys. złotych. Natomiast grzywny takie nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł.

Unijne rozporządzenie w sprawie ochrony danych osobowych przewiduje ogromne administracyjne kary pieniężne dla przedsiębiorstw. Jest to bagatela:

1) do 10 mln euro, a także kara sięgająca do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego oraz

2) do 20 mln euro, a także kara sięgająca do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Do tej pory pozaprawne skutki naruszeń przepisów o ochronie danych osobowych (utrata renomy, utrata kosztownych baz danych) były niejednokrotnie bardziej dolegliwe niż te prawne. Od maja 2018 roku pozaprawne skutki naruszeń będą jedynie wierzchołkiem góry lodowej.

Wysokość kar oraz katalog naruszeń, w przypadku których kary pieniężne mogą zostać nałożone, zostały opisane w art. 83 ogólnego rozporządzenia o ochronie danych osobowych.

Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i prywatność na każdym etapie tworzenia i istnienia technologii obejmującej przetwarzanie danych osobowych. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.

Administrator danych nie może traktować prywatności jako elementu zbędnego. Zobowiązany jest do prowadzenia analizy ryzyka przetwarzania danych osobowych, oceny zagrożeń, audytu, certyfikacji oraz przygotowywania materiałów szkoleniowych dla pracowników. Działania te mają na celu zwiększenie świadomości w zakresie ochrony danych.

Administrator danych powinien wykazać się w tym przypadku podejściem proaktywnym, a nie naprawczym w sytuacji, kiedy dojdzie do naruszenia prywatności. Administrator danych powinien zapewnić ochronę prywatności od początku do końca cyklu życia informacji, nie zapominając o transparentności i przejrzystości przetwarzanych danych.

Przekazanie dokumentacji księgowej wiąże się nierozerwalnie z powierzeniem danych osobowych. W takiej sytuacji administrator danych zobowiązany jest zawrzeć stosowną umowę powierzenia. Umowa powinna określać przedmiot oraz czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Administrator danych zobowiązany jest dodatkowo do prowadzenia kontroli u procesora, a także prowadzenia rejestru umów powierzenia.

Administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych osobowych. W rejestrze zamieszcza się informacje dotyczące:

1) imienia i nazwiska lub nazwy oraz danych kontaktowych administratora oraz wszelkich współadministratorów, a także inspektora ochrony danych,

2) celu przetwarzania,

3) opisu kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4) kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

5) planowanych terminów usunięcia poszczególnych kategorii danych,

6) ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr czynności przetwarzania danych osobowych może być prowadzony zarówno w wersji papierowej, jak i elektronicznej. Co prawda rozporządzenie unijne w sprawie ochrony danych osobowych przewiduje odstępstwa od obowiązku prowadzenia tego rejestru, ale są to wyjątki od ogólnie przyjętej zasady.

Administrator danych ma 72 godziny na zgłoszenie organowi nadzorczemu incydentu godzącego w bezpieczeństwo przetwarzania danych. W zgłoszeniu powinien przedstawić:

1) opis charakteru takiego naruszenia,

2) dane kontaktowe osoby odpowiedzialnej za utrzymanie zasad bezpieczeństwa,

3) informacje o środkach, które mają zapobiegać w przyszłości tego typu problemom,

4) informacje o działaniach, które zostały podjęte przez administratorów danych, aby zlikwidować problem, który się pojawił.

Administrator danych nie będzie musiał zgłaszać incydentu godzącego w bezpieczeństwo przetwarzanych danych w sytuacji, kiedy jest mało prawdopodobne, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jedną z podstawowych zasad przetwarzania danych jest zasada bezpieczeństwa. Rozporządzenie nakłada na administratora, a także osoby zaangażowane w proces przetwarzania danych, obowiązek szyfrowania danych osobowych, a także stosowania środków kryptograficznych w przypadku przesyłania danych przez sieć publiczną. Administrator zobowiązany jest do ciągłego zapewnienia poufności, integralności, dostępności przetwarzanych danych.

Decyzyjność odnośnie do procesów przetwarzania danych osobowych, zgodnie z RODO, ciągle będzie spoczywała na administratorze danych, z tym że inspektor ochrony danych powinien być niezależny w sprawowaniu swojej funkcji. Nie można wydawać mu instrukcji co do wykonywania zadań i obowiązków z zakresu ochrony danych osobowych. Rozporządzenie wskazuje dodatkowo na ochronę zatrudnienia inspektora. Co ważne, na inspektora ochrony danych nie mogą być nałożone inne obowiązki niż te związane z ochroną danych osobowych.

Kara finansowa do 20 mln euro może być w przypadku firm zastąpiona karą do wysokości 4% rocznego obrotu. Zastosowanie będzie miała wyższa kwota.

Po wygaśnięciu umowy o świadczenie usług telekomunikacyjnych ustaje cel, dla którego dane zostały zebrane, i tym samym ich przetwarzanie może odbywać się wyłącznie ze względu na dochodzenie roszczeń lub wykonywanie innych zadań przewidzianych w ustawie Prawo telekomunikacyjne lub przepisach odrębnych, a nie dla działań marketingowych. Administrator danych osobowych zobowiązany jest do przetwarzania danych zgodnie z zasadami:

• rzetelności,

• adekwatności,

• celowości oraz

• ograniczenia czasowego.

Zgodnie z zasadą celowości, zwaną również zasadą związania z celem, zbieranie danych osobowych może się odbywać tylko dla oznaczonych, zgodnych z prawem celów. Dane nie mogą być przetwarzane niezgodnie z tymi celami. Oznacza to, że zbierający dane, nie może pominąć ani zataić tego celu. Nie może określać celu przetwarzania danych w sposób ogólnikowy. Niedopuszczalne jest także uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach.

Częstą praktyką jest łączenie zgody na przetwarzanie danych osobowych w celach marketingowych wynikającej z przepisów ustawy o ochronie danych osobowych ze zgodą na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach uśude. W tej sytuacji trudno mówić o możliwości podjęcia swobodnej i nieskrępowanej decyzji co do przetwarzania danych osobowych. Klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację czy też odróżnienie od innych składanych w tym samym czasie i miejscu oświadczeń.

Mówiąc najogólniej, osoba musi wiedzieć, że jej zgoda jest wyrażona na konkretną czynność, np. na przetwarzanie danych w celach rekrutacyjnych, marketingowych czy promocyjnych administratora danych. Z rozporządzenia wynika także, że jeśli podmiot danych ma udzielić zgodę w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

W przypadku przetwarzania danych wrażliwych bez wyraźnej podstawy prawnej (w tym zgody wyrażonej w formie pisemnej) administrator danych naraża się na zarzut przetwarzania w sposób nielegalny.

Ustawodawca unijny wskazał, że zastosowane administracyjne kary pieniężne muszą być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Organ nadzorczy decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, powinien zwracać w każdym indywidualnym przypadku uwagę na:

• charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania,

• liczbę poszkodowanych osób, których dane dotyczą,

• rozmiar poniesionej przez nie szkody, a także

• umyślny lub nieumyślny charakter naruszenia.

Pod uwagę brane powinny być także wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego oraz kategorie danych osobowych, których dotyczyło naruszenie. Warto zauważyć, że w przypadku ewentualnej kontroli inspektorzy będą mieli prawo do nałożenia kilku kar pieniężnych za każde z wykrytych uchybień.