Kara RODO – czyli kara za brak przestrzegania Rozporządzenia o Ochronie Danych Osobowych może być wyjątkowo dotkliwa zwłaszcza dla mniejszych firm. Na szczęście odpowiednie, nielekceważące podejście do ochrony danych osobowych, może uchronić właścicieli firm przed karami pieniężnymi lub skutecznie zmniejszyć jej wysokość.

Jak zabezpieczyć się przed karą RODO? Za jakie czyny Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę? W jaki sposób wyznaczana jest kara za RODO oraz jakie elementy wpływają na jej wysokość?

Na te i inne pytania odpowiadamy w poniższym artykule.  

Jakie uprawnienia posiada prezes UODO?

W ustawie o ochronie danych osobowych ustanowiono Organ Nadzorczy nad przestrzeganiem Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) w Polsce – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Posiada on uprawnienia kontrolne, rozpatruje skargi, wydaje decyzje i zalecenia, dotyczące Administratorów danych, oraz może nadzorować ich realizację.

Prezes UODO, w wyniku stwierdzenia nieprawidłowości dotyczących przestrzegania ochrony danych, może:  
– wydawać ostrzeżenia,
– udzielać upomnień,
– nakazać spełnienie żądania osoby, której dane dotyczą,
– zdecydować o czasowym lub częściowym ograniczeniu przetwarzania (a nawet zakazać przetwarzania).

PUODO posiada prawo nie tylko do przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych, ale również do nakładania na Administratora danych administracyjnych kar pieniężnych w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Za jakie czyny może zostać nałożona kara RODO?

Każda osoba, która podejrzewa, że jej dane osobowe są przetwarzane niezgodnie z RODO, ma prawo zgłosić to podejrzenie prezesowi UODO. Prezes rozpatruje wszystkie sprawy indywidualnie biorąc pod uwagę zaistniałe okoliczności.

Zobacz, czego najczęściej dotyczą skargi:

• usunięcie danych osobowych;
• wymuszanie zgody na przetwarzanie danych w celach marketingowych;
• przesyłanie przez firmy niechcianej korespondencji elektronicznej;
• wykonywanie niechcianych telefonów marketingowych;
• nieuprawnione udostępnienie danych osobowych osobie trzeciej;
• pozyskiwanie zbyt szerokiego zakresu danych osobowych;
• uzależnianie zawarcia umowy od wykonania lub udostępnienia kopii dokumentu tożsamości, zwłaszcza dowodu osobistego;
• brak spełniania obowiązku informacyjnego;
• przetwarzanie danych biometrycznych pracowników;
• stosowanie monitoringu wizyjnego.

Od czego zależy wysokość kary PUODO?

Kary pieniężne za naruszenia przepisów RODO, powinny być w każdym przypadku skuteczne, proporcjonalne i odstraszające. Kary administracyjne nakłada się indywidualnie w zależności od okoliczności powstania naruszenia. Prezes UODO, przy ustalaniu wysokości kar bierze pod uwagę takie czynniki, jak:
– okres trwania naruszenia oraz jego charakter i wagę naruszenia,
– kategorię danych osobowych, których dotyczyło naruszenie (dane podstawowe czy szczegółowe),
– skalę naruszenia,
– umyślność popełnionego czynu,
– występowanie naruszeń ochrony danych w przeszłości,
– stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, (np. posiadanie polityki ochrony danych osobowych, wystawianie upoważnień do przetwarzania danych, zawarte umowy powierzenia danych),
– przebieg współpracy z UODO (zarówno w toku przeprowadzanej kontroli, jak i w trakcie postępowania administracyjnego),
– zastosowanie odpowiednich działań mających na celu zminimalizowanie naruszenia oraz szybkość podjęcia tych działań,
– sposób, w jaki naruszenie zostało zgłoszone do organu.

Pamiętaj! W przypadku kontroli UODO nigdy nie utrudniaj przeprowadzania postępowania

Nie warto utrudniać dostępu do danych i informacji podczas trwania czynności kontrolnych UODO. Pamiętajmy o treści art. 107 i 108 ust.1 RODO

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (W przypadku bezpodstawnego przetwarzania danych szczególnych kategorii, osoba podlega karze pozbawienia wolności do lat 3!).

Art. 108. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Ponadto może zostać zawiadomiona Policja.

Za błędy dotyczące przestrzegania przepisów ochrony danych osobowych odpowiedzialność ponosi Administrator danych, jednak pamiętać należy, że pracownik ponosi materialną odpowiedzialność przed pracodawcą.

WAŻNE!
W przypadku niewykonania lub nienależytego wykonania obowiązków pracowniczych bądź umyślnego działania na szkodę firmy, pracownik może zostać obciążony kwotą nieprzekraczającą  trzymiesięcznego wynagrodzenia tego pracownika na rzecz pracodawcy.

Jakie są maksymalne wysokości kar za nieprzestrzeganie przepisów RODO?

RODO przewiduje następujące progi dotyczące wysokości nałożonej kary pieniężnej do:

• 10 milionów euro, a w przypadku przedsiębiorstwa do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma wyższa kwota),
• 20 milionów euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma wyższa kwota),
• 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze lub Narodowy Bank Polski,
• 10 000 na państwowe i samorządowe instytucje kultury.

Kwoty kar pieniężnych wyznaczonych w euro oblicza się według średniego kursu na dzień 28 stycznia każdego roku. W tym dniu obchodzony jest Międzynarodowy Dzień Ochrony Danych Osobowych. Należy zaznaczyć, że środki pozyskane z kar nie wpływają do Urzędu ochrony danych, ale bezpośrednio do budżetu państwa.

Kara RODO – przykłady

Do 10 milionów euro, a w przypadku przedsiębiorstwa do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

• brak uwzględnienia ochrony danych w fazie projektowania (privacy by design),
• brak lub nienależyte prowadzenie rejestru czynności przetwarzania danych,
• niepowołanie IOD w przypadku istnienia takiego obowiązku,
• brak współpracy z PUODO.

Do 20 milionów euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

• złamanie zasad przetwarzania danych, np. zasady minimalizacji danych,
• przetwarzanie danych bez podstawy prawnej,
• niespełnienie obowiązku informacyjnego,
• nierealizowanie praw osób, których dane dotyczą,
• nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania danych nałożonego przez PUODO.

Jak zabezpieczyć się przed karami RODO?

Żeby uniknąć kar Prezesa UODO, przede wszystkim trzeba postępować zgodnie z zasadami zawartymi w Rozporządzeniu o Ochronie Danych Osobowych. Konieczne jest tutaj rozumienie celowości i konieczności działań mających na celu ochronę danych osobowych. Kluczowe znaczenie ma tutaj zmiana postrzegania tych działań jako ciągły i złożony proces, nie natomiast jako jednorazowe działanie.

Zapamiętaj

“Bezpieczeństwo danych osobowych nie jest określonym stanem, bezpieczeństwo jest ciągłym procesem”

Skuteczna ochrona danych osobowych zobowiązuje Administratora Danych Osobowych do podejmowania działań cyklicznych, monitorowania, analizowania i oceniania wdrożonych zasad w firmie.

Kara RODO – jakie działania należy podjąć by się przed nią uchronić?

• przeszkól swoich pracowników z RODO

Jeśli Twoi pracownicy nie będą potrafili zidentyfikować danego naruszenia czy incydentu nie podejmą żadnych działań co do zminimalizowania ich skutków. Dlatego zawsze warto zainwestować w szkolenia pracownicze.

Uwaga! Szkolenie z zakresu ochrony danych osobowych powinno być przeprowadzane cyklicznie, przykładowo raz do roku lub każdorazowo, gdy zostały wprowadzone zmiany w prawie i zmiany te dotyczą prowadzonej działalności. 

Z naszych dotychczasowych obserwacji wynika, że ważnymi czynnikami, mogącymi wpłynąć na wysokość kary, jest również fakt przeprowadzenia szkoleń pracowniczych z zakresu RODO czy podjęcia działań dyscyplinujących pracowników.

To jeszcze jeden powód, by nie zaniedbywać szkoleń pracowniczych z zakresu ochrony danych osobowych RODO. Zobacz praktyczny kurs RODO https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/

• sprawdź wszystkie zabezpieczenia (tzw. środki techniczne i organizacyjne) pod kątem ewentualnych luk i błędów

Upewnij się, czy:
– dyski w laptopach, które są wynoszone poza firmę, zostały zaszyfrowane silnym hasłem,
– pracownicy używają silnych haseł do wszystkich służbowych urządzeń i kont,
– są wykonywane cykliczne kopie zapasowe,
– są wykonywane na bieżąco aktualizacje.

• zadbaj o to, aby do dokumentów, zawierających dane osobowe, miały dostęp jedynie osoby do nich upoważnione  

• wykonuj cyklicznie testy bezpieczeństwa IT  

• wdróż w firmie dokumentacje RODO i stosuj ją w praktyce

Na dokumentacje składa się szereg elementów – m.in. polityki, procedury, rejestry. W razie kontroli UODO stanowią potwierdzenie podjętych działań w kierunku ochrony danych osobowych .

• opracuj i wdróż procedury ochrony danych osobowych

Ustal zasady postępowania na wypadek wycieku danych, wykrycia naruszenia czy próby ataku hackerskiego.

• przypomnij pracownikom o szyfrowaniu wiadomości mailowych

Pamiętaj, że jedne z najczęstszych naruszeń, są te wynikające z wysłania niezabezpieczonych informacji do nieodpowiednich osób.

Podsumowując:

ADO ma obowiązek zgłosić wykryte naruszenie ochrony danych osobowych jak najszybciej (bez zbędnej zwłoki) do UODO. ADO ma na to maksymalnie 72 godziny, po upływie tego czasu dołącza się wyjaśnienie przyczyn opóźnienia.
Brak zgłoszenia naruszenia ochrony danych osobowych jest wystarczającym powodem do nałożenia kary.

Koniecznie zapoznaj się z artykułem: Jak skutecznie chronić dane osobowe i uniknąć ich wycieku?

Warto zapoznać się z dotychczasowo nałożonymi karami i przeanalizować powody, przez które zostały ukarane. Na podstawie błędów innych firm można rozważyć, czy nasza organizacja jest dobrze przygotowana na każdą ewentualność.

Dlatego, zapoznaj się z artykułem – Kary nałożone przez POUDO w 2020 roku – omówienie + najważniejsze wnioski: https://www.e-kursyrodo.pl/rodo-w-2020-naruszenia-kary-upomnienia/
Najwyższe kary RODO  https://www.e-kursyrodo.pl/kary-rodo-10-najwyzszych-kar/
Chcesz być na bieżąco z nowymi karami RODO? Zapraszamy do polubienia firmowego profilu na Facebooku – https://www.facebook.com/Standarder-Sp-z-oo-Ochrona-Danych-Osobowych-207629525933920